Киберпреступники активизировали сканирование уязвимости в Palo Alto Networks PAN-OS

Исследователи кибербезопасности из SANS ISC зафиксировали систематические атаки с IP-адреса 141.98.82[.]26, нацеленные на конечную точку загрузки файлов портала GlobalProtect.

Уязвимость получила максимально возможную оценку 10.0 по шкале CVSS 4.0 и классифицирована Palo Alto Networks как имеющая наивысший приоритет срочности. Проблема затрагивает версии PAN-OS 10.2, 11.0 и 11.1 при наличии настроенного портала или шлюза GlobalProtect. При этом облачные сервисы Cloud NGFW, Panorama и Prisma Access не подвержены данной уязвимости.

Эксплуатация уязвимости включает две последовательные операции. Сначала злоумышленник отправляет POST-запрос к /ssl-vpn/hipreport.esp с модифицированным идентификатором сессии, что приводит к созданию файла в директории GlobalProtect.

Затем GET-запрос по пути к этому файлу подтверждает успешную загрузку, если сервер возвращает статус "403", указывающий на существование файла без выполнения какого-либо кода.

В реальных условиях атаки злоумышленники могут комбинировать эту технику с выполнением команд, получая полный root-контроль над межсетевым экраном. Особую озабоченность вызывает доступность публичных proof-of-concept эксплойтов и демонстрация техник сохранения доступа после взлома, что значительно повышает риски для непропатченных систем.

Несмотря на всплеск сканирующей активности, подтвержденных масштабных атак в дикой природе пока не зарегистрировано, за исключением тестовых эксплуатаций. Однако простота автоматизации атак, отсутствие требования аутентификации и сетевая доступность уязвимости делают ее привлекательной целью для оппортунистических операторов и автоматизированных ботнетов.

Palo Alto Networks уже выпустила исправления в версиях PAN-OS 10.2.9-h1, 11.0.4-h1 и 11.1.2-h3, а также предоставила временные решения для других поддерживаемых выпусков. Специалисты настоятельно рекомендуют немедленно обновить уязвимые системы.

Организации с подпиской Threat Prevention могут развернуть сигнатуры 95187, 95189 и 95191 для блокировки попыток эксплуатации через интерфейс GlobalProtect. Следует отметить, что отключение телеметрии устройств больше не считается эффективной мерой защиты.

До применения исправлений администраторам следует отслеживать конечные точки GlobalProtect на предмет аномальных POST или GET запросов к hipreport.esp и /global-protect/portal/images/. Системы обнаружения вторжений должны настраиваться на оповещения о необычных строках пользовательского агента или повторяющихся шаблонах ответов 404/403.

Для скомпрометированных устройств, которые невозможно полностью доверять, Palo Alto Networks предоставила расширенные процедуры сброса к заводским настройкам через службу поддержки клиентов.

При текущем уровне сканирования и доступности публичных эксплойтов организациям необходимо отнестись к данной уязвимости с максимальной серьезностью для предотвращения потенциального полного компрометации систем. Непрерывный мониторинг, своевременное применение исправлений и использование превентивных сигнатур остаются ключевыми элементами защиты от развивающихся попыток эксплуатации.

IPv4

• 141.98.82.26