Arctic Wolf Labs hat mehrere Security-Breaches bei Unternehmen aus unterschiedlichen Branchen beobachtet, an denen Firewall-Geräte von Palo Alto Network beteiligt waren.
Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. Dieses Betriebssystem, wird auf deren Firewall-Geräten genutzt. Einen Tag später veröffentlichte Watchtowr einen Report mit technischen Details darüber, wie die beiden Schwachstellen miteinander verknüpft werden können, um eine Remotecodeausführung dieser Schwachstellen zu erreichen.
Bereits einige Stunden nach der Veröffentlichung des Watchtowr-Reports beobachtete Arctic Wolf Labs mehrere Angriffe, die Palo Alto Networks-Geräte betrafen. Aufgrund des engen zeitlichen Zusammenhangs mit der Veröffentlichung des Watchtowr-Reports und zusätzlicher von Arctic Wolf Labs geprüfter Beweise geht Arctic Wolf mit mittlerer Wahrscheinlichkeit davon aus, dass bei diesen Einbrüchen CVE-2024-0012 in Verbindung mit CVE-2024-9474 für den Erstzugang ausgenutzt wurde.
Weitere wichtige Erkenntnisse von Arctic Wolf:
- Betroffene Geräte lösten Downloads über HTTP aus, darunter das Sliver-C2-Framework, Coinminer-Binaries und verschiedene andere Payloads.
- Es gibt Hinweise darauf, dass die Bedrohungsakteure die kürzlich bekannt gewordenen PAN-OS-Schwachstellen CVE-2024-0012 und CVE-2024-9474 ausgenutzt haben, um sich einen ersten Zugang zu verschaffen.
- Die Überwachung von Firewall-Protokollen auf Nutzernamen mit ungewöhnlichen Zeichen bietet eine Möglichkeit zur frühzeitigen Erkennung von Kill Chains.
Keri Shafer-Page, VP of Incident Response bei Arcitic Wolf bewertet die Lage folgendermaßen: „Die beiden Sicherheitslücken CVE-2024-0012 und CVE-2024-9474 im Betriebssystem von Palo Alto Networks sind ein Beispiel für die Möglichkeiten, die sich Cyberkriminellen durch die Verkettung zweier ungepatchter Sicherheitslücken bieten. Da sich die Hacker-Community ständig weiterentwickelt und neue Taktiken, Techniken und Verfahren (TTPs) mit innovativen Tools kombiniert, müssen Lücken in Systemen umgehend aufgespürt und geschlossen werden. Die bisher gemeldeten Aktivitäten der Bedrohungsakteure sind lediglich ein Bruchteil dessen, was die möglichen Folgen dieser Beobachtungen sein könnten. Wir wissen, dass Cyberkriminelle vor nichts zurückschrecken, um mit allen Mitteln in Unternehmenssysteme einzudringen und von ähnlichen Bedrohungen zu profitieren. Die Unternehmen müssen daher schnell reagieren, um sich und ihre Kunden zu schützen.“
#ArcticWolf
