Dataintrång i Palo Alto GlobalProtect-produkter – förutsätter omedelbara åtgärder
Varning1/2024
Sårbarheten (CVE-2024-3400) utnyttjas aktivt i Palo Alto GlobalProtect-produkten som används i stor omfattning i organisationer. Sårbarheten har betydande konsekvenser och förutsätter uppdatering och undersökning av utrustningar. Det finns skäl att misstänka intrång i sårbar utrustning.
Palo Altos produkter är populära även i Finland och hundratals apparater i nätgränssnittet är utsatta för sårbarheten som tillkännagavs fredagen den 12 april. Försök att utnyttja sårbarheter kommer att fortsätta och rentav öka under de närmaste dagarna. Exempelkoderna som hänför sig till utnyttjande av sårbarheten är tillgängliga på internet och således också för angripare.
Palo Alto GlobalProtect Gateway och för dess administration använda GlobalProtect Portal är produkter som organisationer använder till exempel för säkra VPN-distansarbetslösningar. Kritiska sårbarheter i dessa produkter kan ge en angripare nycklar, eftersom syftet med sådana produkter är att möjliggöra tillgång till organisationens nät.
Organisationer som använder produkterna ska reagera snabbare än tidigare på kritiska sårbarheter och göra åtgärder för att korrigera dessa. Utnyttjandet av sårbarheter har även i fallet Palo Alto börjat redan innan korrigerande åtgärder eller uppdateringar har offentliggjorts. Försök till utnyttjande har redan börjat runt om i världen och de första dataintrångsobservationerna har även gjorts i Finland.
Betydande ändringar i de primära uppgifterna
Cybersäkerhetscentret offentliggjorde den 12 april 2024 ett sårbarhetsmeddelande om den kritiska sårbarheten CVE-2024-3400 i Palo Alto. Till en början gällde sårbarheten endast GlobalProtect Gateway-produkten som i stor utsträckning används även i Finland för genomförande av VPN i organisationer. Denna vecka rapporterades också att GlobalProtect Portal-produkten är sårbar.
Palo Alto meddelade till en början att en liten konfigurationsändring förhindrade utnyttjande av sårbarheten. Detta stämmer inte längre och flera lyckade angrepp har upptäckts även i Finland. Bedömning av angreppens konsekvenser och omfattning har påbörjats i organisationerna. Organisationer ska omedelbart uppdatera Palo Alto-utrustningen till de nyaste versionerna och det rekommenderas att undersöka utrustningen för ett eventuellt dataintrång. Till exempel i utrustningens logg och nya tillagda filer i utrustningen kan man få reda på om dataintrång gjorts.
Anmälning av observationer
Om ni upptäcker att er utrustning har utnyttjats är det viktigt att agera omedelbart. Se till att uppgifter i utrustningen inte tas bort eller installeras på nytt. Utrustningen kan frånkopplas från nätet, men ska inte stängas av. I tillverkarens meddelande är det möjligt att få närmare information om sårbarheten för teknisk undersökning.
Vi tar gärna emot anmälningar om utnyttjande av sårbarheten om ni har upptäckt sådana i er organisation. Observationerna kan meddelas via blanketten på vår webbplats eller via e-post till cert@traficom.fi.
Målgrupp för varningen
Inhemska organisationer som använder Palo Alto GlobalProtect-produkter. Sårbarheten gäller inte slutanvändare eller vanliga medborgare.
NGFW-brandväggar i molnet är inte sårbara, men sårbarheten gäller andra i molnet använda och administrerade instanser.
Åtgärds- och begränsningsmöjligheter
Ett lyckat dataintrång kan upptäckas genom att följa utrustningens nättrafik och genom att söka tecken på kända faroindikatorer (IoC) samt genom att kontrollera loggarna i händelse av misstänkta redigeringar.
I sitt meddelande (Extern länk) berättar Palo Alto om indikatorer som anger försök till utnyttjande. Logganteckningar med meddelandet failed to unmarshal session, som innehåller något annat än GUID-teckensträng (till exempel 01234567-89ab-cdef-1234-567890abcdef) berättar om försök till utnyttjande. Om ni har upptäckt försök till utnyttjande rekommenderar vi att anta att utnyttjandet av sårbarheten har lyckats och utrustningen är äventyrad, fastän det kan vara möjligt att försäkra sig om ett lyckat utnyttjande noggrannare från fall till fall.
Kunder kan redogöra fallet i Palo Altos kundsupportportal (customer support portal, CSP) och ladda ner en fil för tekniskt stöd i portalen (technical support file, TSF) och kontrollera om det i utrustningens logg finns tecken på utnyttjande (IoC) av sårbarheten.
Mer information
- AttackerKB: Informationssäkerhetsbolaget Rapid7 har gett ut omfattande anvisningar om undersökning av utrustning (på engelska) (Extern länk)
- WatchTowr Labs: Beskrivning av sårbarhetens verksamhet (Extern länk)
- Palo Altos meddelande (Extern länk)(på engelska)
- Cybersäkerhetscentrets sårbarhetsmeddelande – 12/2024 (på finska)