Lek in firewalls Palo Alto Networks sinds begin april misbruikt bij aanvallen

[Captain Kirk]

Een kritieke kwetsbaarheid in firewalls van Palo Alto Networks is sinds begin april misbruikt bij aanvallen, zo heeft het securitybedrijf zelf bekendgemaakt. Updates voor het beveiligingslek zijn nog niet beschikbaar en zullen op 13 en 28 mei verschijnen. Via het lek, aangeduid als CVE-2026-0300, kan een ongeauthenticeerde aanvaller op de firewall willekeurige code met rootrechten uitvoeren.

Palo Alto Networks stelt dat het bekend is met 'beperkt misbruik' van de kwetsbaarheid. Zo vond op 9 april een aanval plaats die mislukte. Een week later lukte het de aanvallers wel om code op de firewall uit te voeren, waarbij er shellcode werd geïnjecteerd. Vervolgens werden de logbestanden door de aanvallers opgeschoond en crashdumpbestanden verwijderd om zo detectie te voorkomen.

Bij de aanval maakten de aanvallers ook gebruik van tunneling tools EarthWorm en ReverseSocks5, vond er Active Directory enumeratie plaats met inloggegevens die vermoedelijk van de gehackte firewall afkomstig waren en werden logbestanden en ander bewijs van de aanval systematisch verwijderd. De aanvallen zijn volgens Palo Alto Networks vermoedelijk het werk van een statelijke actor.

 

bron: https://www.security.nl