Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Năm đã thêm một lỗ hổng bảo mật nghiêm trọng hiện đã được vá ảnh hưởng đến Palo Alto Networks Expedition vào danh mục các lỗ hổng khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2024-5910 (điểm CVSS: 9.3), liên quan đến trường hợp thiếu xác thực trong công cụ di chuyển Expedition có thể dẫn đến việc chiếm đoạt tài khoản quản trị.
"Palo Alto Expedition chứa một lỗ hổng xác thực bị thiếu cho phép kẻ tấn công có quyền truy cập mạng chiếm đoạt tài khoản quản trị viên Expedition và có khả năng truy cập bí mật cấu hình, thông tin đăng nhập và các dữ liệu khác", CISA cho biết trong một cảnh báo.
Thiếu sót ảnh hưởng đến tất cả các phiên bản của Expedition trước phiên bản 1.2.92, được phát hành vào tháng 7 năm 2024 để khắc phục sự cố.
Hiện tại không có báo cáo nào về cách lỗ hổng được vũ khí hóa trong các cuộc tấn công trong thế giới thực, nhưng Palo Alto Networks đã sửa đổi tư vấn ban đầu của mình để thừa nhận rằng họ "nhận thức được các báo cáo từ CISA rằng có bằng chứng về việc khai thác tích cực".
Cũng được thêm vào danh mục KEV là hai lỗ hổng khác, bao gồm lỗ hổng leo thang đặc quyền trong thành phần Android Framework (CVE-2024-43093) mà Google tiết lộ trong tuần này là đã bị "khai thác có giới hạn, có mục tiêu".
Lỗi bảo mật khác là CVE-2024-51567 (điểm CVSS: 10.0), một lỗ hổng nghiêm trọng ảnh hưởng đến CyberPanel cho phép kẻ tấn công từ xa, chưa được xác thực thực thi các lệnh dưới dạng root. Sự cố đã được giải quyết trong phiên bản 2.3.8.
Vào cuối tháng 10/2023, có thông tin cho rằng lỗ hổng đã bị các tác nhân độc hại khai thác hàng loạt để triển khai mã độc tống tiền PSAUX trên hơn 22.000 phiên bản CyberPanel tiếp xúc với internet, theo LeakIX và một nhà nghiên cứu bảo mật có bí danh trực tuyến Gi7w0rm.
LeakIX cũng lưu ý rằng ba nhóm ransomware riêng biệt đã nhanh chóng tận dụng lỗ hổng, với các tệp được mã hóa nhiều lần trong một số trường hợp.
Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) đã được khuyến nghị khắc phục các lỗ hổng đã xác định trước ngày 28 tháng 11 năm 2024, để bảo mật mạng của họ trước các mối đe dọa đang hoạt động