西门子正紧急呼吁使用其Ruggedcom APE1808设备并集成了Palo Alto Networks (PAN) Virtual NGFW的企业采取紧急措施,以应对PAN在其新一代防火墙产品中揭露的高危零日漏洞。
这一命令注入漏洞,被标记为CVE-2024-3400,影响了多个版本的PAN-OS防火墙,当特定功能被启用时,攻击者能够利用该漏洞在受影响的防火墙上部署恶意的Python后门。
在Volexity研究团队发现这一漏洞并在月初向安全厂商报告后,PAN迅速进行了漏洞修复。然而,随着多个组织报告遭受该漏洞攻击,美国网络安全和基础设施安全局(CISA)已将CVE-2024-3400列入其已知漏洞目录。
Palo Alto Networks本身也警告称,针对CVE-2024-3400的攻击正在增加,并且漏洞的概念验证代码已被公开。
西门子指出,其Ruggedcom APE1808产品,通常作为工业控制环境的边缘设备使用,同样容易受到该漏洞的影响。尤其是配置了GlobalProtect网关或GlobalProtect门户(或两者皆有)的PAN Virtual NGFW产品版本均存在风险。
西门子在一份声明中表示,尽管正在针对该漏洞进行更新,但建议客户在此期间采取紧急措施以降低风险,包括使用PAN发布的特定威胁ID来防范攻击。西门子还指出,PAN建议禁用GlobalProtect网关和门户,并强调在Ruggedcom APE1808部署环境中,这些功能已被默认禁用。
最初,PAN还建议企业禁用设备遥测功能以防范该漏洞攻击,但随后因无效而撤回了这一建议。PAN指出,即使不启用设备遥测功能,PAN-OS防火墙仍可能遭受与该漏洞相关的攻击。
西门子敦促客户遵循最 佳实践,使用适当的机制保护工业控制环境中设备的网络访问,并建议根据西门子的工业安全操作指南配置环境,以确保设备在受保护的IT环境中安全运行。
Shadowserver基金会负责监控互联网上的威胁流量,截至4月22日,已发现约5,850个易受攻击的PAN NGFW实例在互联网上暴露并可供攻击者访问。其中,约2360个易受攻击的实例位于北美,其次是亚洲,约有1800个暴露的实例。
互联网暴露仍是工业控制系统(ICS)和操作技术(OT)环境中的一个重大风险
尽管目前尚不清楚这些暴露实例中有多少位于ICS和OT环境中,但总体而言,互联网暴露问题仍然突出。Forescout的最新调查发现,全球有近11万个ICS和OT系统面向互联网开放,其中美国的情况最为严重,占暴露实例的27%。然而,与过去几年相比,这一数字已有所下降。而在其他国家,包括西班牙、意大利、法国、德国和俄罗斯,ICS/OT设备在互联网上的暴露数量却急剧增加。
Forescout指出,机会型攻击者越来越多地利用这种暴露进行大规模攻击。他们可能出于各种目的,包括当前事件、模仿行为或新发现的现成功能或黑客指南中的紧急情况等。该安全厂商认为,这种风险至少部分与系统集成商提供的打包组件有关,这些组件可能无意中导致ICS和OT系统暴露在互联网上。Forescout强调,许多资产所有者可能并不知道这些打包设备中包含暴露的OT设备。因此,企业需加强安全意识,采取有效措施保护ICS和OT系统的安全。