ช่องโหว่ดังกล่าวถูกกำหนดหมายเลข CVE คือ CVE-2024-3400 (คะแนน CVSS Score 10.0/10.0 Critical) โดยช่องโหว่ดังกล่าวส่งผลให้ผู้ไม่ประสงค์ดีสามารถส่ง Code หรือ Command อันตรายเข้าไปยังอุปกรณ์ Palo Alto PAN-OS ให้สามารถทำงานตามที่ผู้ไม่ประสงค์ดีต้องการได้ (Arbitrary Code Execution) โดยไม่จำเป็นต้นทำการตรวจสอบหรือยืนยันตัวตน (Unauthenticated) ซึ่งจะทำงานในระดับสิทธิ์ root
ช่องโหว่นี้ส่งผลกระทบกับ PAN-OS 10.2, PAN-OS 11.0, และ PAN-OS 11.1 บนอุปกรณ์ Palo Alto Firewall ถ้าทำการเปิดใช้งานฟีเจอร์ device telemetry and GlobalProtect
ในขณะที่ Palo Alto Networks ได้เริ่มปล่อยโปรแกรมแก้ไขด่วนในวันจันทร์เพื่อรักษาความปลอดภัยไฟร์วอลล์ที่ไม่ได้รับแพตช์ ซึ่งปัจจุบันช่องโหว่ดังกล่าวได้ถูกจัดเป็นช่องโหว่ชนิด Zero-day และมีการใช้โจมตีแล้วตั้งแต่วันที่ 26 มีนาคมเป็นต้นมา พบมีการใช้งาน Backdoor ที่ใช้ Upstyle Malware เพื่อเคลื่อนย้ายการโจมตีเพิ่มเติมเข้าไปยังเครือข่ายภายใน และขโมยข้อมูลโดย กลุ่มภัยคุกคามที่เชื่อว่าได้รับการสนับสนุนจากรัฐและมีรหัสติดตามคือ UTA0218
Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยกล่าวว่าเห็นไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนเครือข่ายอินเทอร์เน็ตทุกวัน แต่อย่างไรก็ตามทาง Shadowserver ไม่ได้ให้ข้อมูลว่ามีความเสี่ยงจำนวนเท่าใด โดยเมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านภัยคุกคาม Yutaka Sejiyama ได้ค้นพบไฟร์วอลล์มากกว่า 82,000 ตัวที่เสี่ยงต่อการโจมตี CVE-2024-3400 โดย 40% อยู่ในสหรัฐอเมริกา
สำหรับวิธีการป้องกันช่องโหว่นี้เบื้องต้น (Workarounds and Mitigations)
Palo Alto Networks ได้เปิดเผย PAN-OS รุ่นที่แก้ไขช่องโหว่แล้ว ดังนี้
PAN-OS 10.2 :
PAN-OS 11.0 :
PAN-OS 11.1 :
สำหรับช่องโหว่นี้ ทาง Unit42 ซึ่งเป็นทีมนักวิจัยของ Palo Alto Networks ได้ทำการวิเคราะห์วิธีการโจมตีและ IoCs เผยแพร่สำหรับนำไปป้องกันองค์กร ดังนี้
UPSTYLE Backdoor
Command and Control Infrastructure
Hosted Python Backdoor
Observed Commands
https://security.paloaltonetworks.com/CVE-2024-3400
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว