11月20日，Shadowserver Foundation报告称，自本月早些时候报告并修复了两个安全漏洞(其中一个为严重漏洞)以来，已有超过2000台Palo Alto Networks PAN-OS防火墙遭到攻击。

　　其中一个安全漏洞是PAN-OS管理Web界面中的严重9.3级身份验证绕过漏洞(CVE-2024-0012)，远程攻击者可能会利用该漏洞获取管理权限。第二个漏洞是中等严重程度的6.9级PAN-OS权限提升漏洞(CVE-2024-9474)，它允许攻击者以root权限在防火墙上运行命令。

　　鉴于这两个漏洞相互结合可能导致远程执行攻击，网络安全和基础设施安全局(CISA)于周一将这两个漏洞均列入了其“已知被利用漏洞目录”。CISA现在要求联邦机构在12月9日前修复其防火墙，并鼓励私营部门组织效仿。

　　截至东部时间下午1点45分，我们试图联系Palo Alto Networks就PAN-OS漏洞的最新消息发表评论，但未获成功。

　　不过，周一SC Media报道称，Palo Alto Networks建议安全团队将管理界面的访问权限限制为仅允许受信任的内部IP地址，以防止来自互联网的外部访问，并补充说“绝大多数防火墙已经遵循Palo Alto Networks和行业最 佳实践”。

　　Keeper Security的安全与架构副总裁帕特里克·蒂科特解释说，这些漏洞带来的直接危险是，利用这些漏洞的攻击者可以完全控制受影响的防火墙，从而危及原本用于保护敏感网络的系统。

　　蒂科特说：“这将为恶意软件的部署、数据窃取、网络内的横向移动甚至整个网络的关闭大开方便之门。对于依赖这些防火墙的组织来说，这可能意味着业务中断、敏感数据丢失以及面临监管和财务后果。”

　　蒂科特补充说，除了立即打补丁外，安全团队还必须优先评估受损防火墙可能造成的损害。这包括检查是否有未经授权的访问、扫描恶意软件以及审查配置，以确保在攻击期间没有引入其他漏洞。

　　Qualys威胁研究部门的安全研究经理马尤雷什·达尼表示，虽然为所有易受攻击的PAN-OS设备打补丁是第一步，但安全团队还需要通过仅允许受信任IP地址访问管理界面来确保访问安全，从而减少攻击面。

　　达尼说：“仔细检查他们的安装情况，确保他们的系统中不存在任何指标(IOC)。如果存在，他们应按照组织的应急响应(IR)步骤来修复这些设备。”

　　达尼说，团队应检查他们的安装情况，并确认它们是否以任何方式被篡改，并撤销这些更改。如果无法做到这一点，团队应恢复最后一个“已知良好”的配置更新，并验证其是否正常工作。达尼补充说，应严格检查任何虚拟PAN-OS版本是否存在“跳转到主机”漏洞利用条件，并对其进行升级或停用。