据相关结果显示，大约有2000台Palo Alto Networks设备在一场利用新披露的安全漏洞的活动中被入侵，这些漏洞正在野外受到积极利用。根据Shadowserver Foundation提供的统计数据，大多数感染报告来自美国（554例）和印度（461例），其次是泰国（80例）、墨西哥（48例）、印度尼西亚（43例）、土耳其（41例）、英国（39例）、秘鲁（36例）和南非（35例）。Censys本周早些时候透露，他们已识别出13,324个公开暴露的下一代防火墙（NGFW）管理界面，其中34%的暴露位于美国。需要注意的是，并非所有暴露的主机都必然会受攻击。

有问题的缺陷CVE-2024-0012（CVSS 评分：9.3）和 CVE-2024-9474（CVSS 评分：6.9）是身份验证绕过和权限提升的组合，可能允许不良行为者执行恶意操作，包括修改配置和执行任意代码。

何为更有效的应对措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名义跟踪最初对漏洞的零日漏洞利用，他们正在被武器化以实现命令执行并将恶意软件（例如基于 PHP 的 Web shell）投放到被黑客入侵的防火墙上。

网络安全供应商还说，针对安全漏洞的网络攻击可能会在将它们组合的漏洞利用可用后升级。为此，以中等到高度的置信度评估链接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公开可用，这将允许更广泛的威胁活动。此外，他们已经观察到手动和自动扫描活动，用户需尽快应用最新的修复程序，并根据推荐的最佳实践部署指南安全访问管理界面。尤其包括限制仅受信任的内部 IP 地址的访问，以防止来自 Internet 的外部访问。

用于丢弃Sliver 和Crypto 矿工的PAN 缺陷

Palo Alto Networks 最新披露，受感染设备的实际数量小于报告的数量，因为后者仅显示暴露于Internet 管理界面的防火墙。除了与受影响的客户合作外，其大多数客户已经遵循行业最佳实践并保护其管理界面，只有不到 0.5% 的防火墙具有暴露于互联网的界面。

云安全公司 Wiz透露，在一周前发布有效的概念验证POC 漏洞后，在野外的漏洞利用尝试“急剧增加”，并且观察到威胁行为者将漏洞武器化，以投放 Web shell、Sliver 植入物和加密矿工。

参考资料：

https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html