Vulnerabilità contro VMware vCenter e firewall Palo Alto

CISA ha aggiunto tre nuove vulnerabilità al suo catalogo, tra cui quelle relative ai firewall Palo Alto Networks e, nel frattempo, un grave bug di esecuzione di codice remoto (RCE) in VMware vCenter Server è stato utilizzato per attacchi attivi. Questi casi sottolineano l’urgenza di mantenere aggiornati i sistemi critici per ridurre i rischi di cyberattacchi.

CISA e vulnerabilità critiche nei firewall Palo Alto

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio catalogo delle vulnerabilità note con tre nuove falle sfruttate attivamente. Tra queste, due riguardano il sistema operativo PAN-OS di Palo Alto Networks, utilizzato nei firewall di nuova generazione:

• CVE-2024-0012: una vulnerabilità che consente di bypassare l’autenticazione nella gestione web di PAN-OS, offrendo a un attaccante l’accesso con privilegi amministrativi senza interazione dell’utente.
• CVE-2024-9474: una falla che permette l’escalation di privilegi fino al livello di root per amministratori malintenzionati già autenticati.
• CVE-2024-1212 Progress Kemp LoadMaster OS Command Injection Vulnerability

Le vulnerabilità sono state sfruttate in attacchi mirati contro interfacce di gestione esposte a reti non fidate. Palo Alto Networks ha rilasciato aggiornamenti di sicurezza per entrambe, invitando i clienti a restringere l’accesso alle interfacce di gestione dei firewall. Tuttavia, rapporti indipendenti indicano che oltre 11.000 dispositivi PAN-OS sono ancora esposti online, con una maggioranza concentrata negli Stati Uniti e in India.

VMware vCenter Server: attacchi sfruttano una vulnerabilità RCE critica

Due vulnerabilità nel software VMware vCenter Server, utilizzato per la gestione di ambienti virtualizzati, sono state sfruttate in attacchi recenti. Tra queste:

• CVE-2024-38812: una vulnerabilità di esecuzione di codice remoto (RCE) derivante da un heap overflow nella gestione del protocollo DCE/RPC, che consente agli attaccanti di eseguire codice arbitrario.
• CVE-2024-38813: una vulnerabilità di escalation di privilegi che permette di ottenere accesso root con pacchetti di rete appositamente costruiti.

Nonostante VMware abbia rilasciato patch per entrambi i problemi già a settembre, l’aggiornamento originale per CVE-2024-38812 non era completamente efficace, costringendo l’azienda a distribuire un fix definitivo in ottobre. Attualmente, non esistono soluzioni alternative, quindi gli amministratori sono invitati ad aggiornare immediatamente i propri sistemi per prevenire ulteriori attacchi.

Queste vulnerabilità sono frequentemente sfruttate da gruppi di ransomware e attori statali, come dimostrano attacchi precedenti in cui exploit simili sono stati utilizzati per installare malware backdoor nei server ESXi.

Le vulnerabilità identificate nei firewall Palo Alto Networks e nel software VMware vCenter Server evidenziano l’importanza di aggiornare tempestivamente i sistemi critici. La CISA, attraverso il suo catalogo, fornisce linee guida utili per mitigare i rischi, ma la responsabilità finale ricade sugli amministratori di sistema, che devono garantire una protezione efficace contro attacchi sempre più sofisticati.