Hackers comprometeram mais de 2.000 firewalls da Palo Alto Networks explorando duas vulnerabilidades críticas recentemente corrigidas. Essas falhas zero-day, identificadas como CVE-2024-0012 e CVE-2024-9474, permitem que atacantes obtenham privilégios administrativos e executem comandos com privilégios de root nos dispositivos comprometidos.

A falha CVE-2024-0012, um bypass de autenticação na interface de gerenciamento web do PAN-OS, foi divulgada no início de novembro, quando a Palo Alto Networks alertou os clientes para restringirem o acesso aos firewalls devido ao risco de exploração remota. Já a CVE-2024-9474, que facilita a escalada de privilégios, foi divulgada apenas nesta segunda-feira. Juntas, essas vulnerabilidades têm sido exploradas em cadeia para comprometer dispositivos, instalar malware e executar comandos maliciosos.

De acordo com a Palo Alto Networks, os ataques têm como origem principal IPs vinculados a serviços de VPN anônimos. A empresa avaliou com “confiança moderada a alta” que um exploit funcional para a cadeia de vulnerabilidades está disponível publicamente, o que pode ampliar significativamente o alcance dos ataques. Apesar de afirmar que apenas um “pequeno número” de firewalls PAN-OS foi afetado, a plataforma Shadowserver informou que mais de 2.700 dispositivos vulneráveis foram identificados, e cerca de 2.000 já foram comprometidos.

A empresa reiterou a importância de limitar o acesso às interfaces de gerenciamento de seus firewalls apenas a IPs internos confiáveis, conforme as diretrizes de melhores práticas. Isso, segundo a Palo Alto Networks, reduz consideravelmente o risco de exploração. Com as vulnerabilidades em evidência, organizações que utilizam os firewalls da Palo Alto devem agir rapidamente para aplicar os patches disponíveis e implementar medidas preventivas, como o controle rigoroso de acesso às interfaces de gerenciamento, a fim de mitigar os riscos e evitar novos comprometimentos.