Aanvallers installeren via nieuw lek webshell op firewalls Palo Alto Networks

[Captain Kirk]

Aanvallers gebruiken een nieuwe kwetsbaarheid om firewalls van Palo Alto Networks met een webshell te infecteren. Een update voor het beveiligingslek, details of een CVE-nummer zijn nog altijd niet door het securitybedrijf gegeven. Een webshell is een programma dat aanvallers op een gecompromitteerd systeem plaatsen om zo toegang tot het systeem te behouden en verdere aanvallen te kunnen uitvoeren.

Vorige week waarschuwde Palo Alto Networks dat aanvallers actief misbruik maken van een kwetsbaarheid in PAN-OS, het besturingssysteem dat op de firewalls van het securitybedrijf draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op de firewall uitvoeren. Voorwaarde is wel dat de managementinterface toegankelijk is. Verdere details over het beveiligingslek zijn niet gegeven.

Dit weekend kwam Palo Alto Networks met aanvullende informatie. Zo heeft het bedrijf verschillende ip-adressen gegeven waarvandaan de aanvallen worden uitgevoerd. Daarbij wordt benadrukt dat het om ip-adressen van legitieme vpn-providers kan gaan. Daarnaast installeren de aanvallers een niet nader genoemde webshell, waarvan een checksum is gegeven.

De enige oplossing die Palo Alto Networks op dit moment heeft is het beveiligen van toegang tot de managementinterface van de firewall. Het bedrijf zegt aan een update te werken, maar laat niet weten wanneer die te verwachten valt.

 

bron: https://www.security.nl