No cenário em constante evolução da cibersegurança, a empresa Palo Alto Networks emitiu um alerta preocupante sobre a exploração de duas falhas de segurança críticas em seu software, afetando potencialmente milhares de organizações em todo o mundo. As vulnerabilidades, identificadas em PAN-OS, o sistema operacional que alimenta os firewalls de nova geração da empresa, são classificadas como “zero-day”. Isso significa que os hackers conseguiram explorá-las antes que a Palo Alto tivesse a oportunidade de disponibilizar atualizações de segurança para corrigir os problemas. Até o momento, a empresa observou uma “conjunto limitado de atividades de exploração” relacionadas a essas vulnerabilidades nas interfaces de gerenciamento de dispositivos expostas à internet.
As falhas em questão são designadas como CVE-2024-0012 e CVE-2024-9474. A primeira permite que um invasor que tenha acesso à interface web de gerenciamento obtenha privilégios administrativos. A segunda, por sua vez, possibilita que o atacante execute ações no firewall comprometido com permissões de raiz, os quais representam o nível de acesso mais elevado possível a um sistema. Quando essas vulnerabilidades são combinadas, os atacantes podem implantar código malicioso nos firewalls afetados, o que lhes concede acesso mais profundo à rede da empresa. O uso dessas falhas em conjunto é uma preocupação, visto que cria uma porta de entrada para atuações ainda mais intrusivas por parte dos invasores.
A Palo Alto Networks observou que os atacantes estão atualmente utilizando um exploit funcional que combina as duas vulnerabilidades para direcionar suas ações a um número restrito de interfaces web de gerenciamento de dispositivos que são expostas ao internet. A Shadowserver Foundation, uma organização não lucrativa que se dedica a escanear e monitorar a internet em busca de exploração de vulnerabilidades, revelou que mais de 2.000 firewalls da Palo Alto foram comprometidos por hackers que tiraram proveito dessas falhas recentemente corrigidas. A pesquisa revelou que o maior número de dispositivos comprometidos se encontra nos Estados Unidos, seguido pela Índia, com ações também registradas no Reino Unido, Austrália e China.
Em resposta a perguntas do TechCrunch, a Palo Alto Networks não confirmou quantos firewalls foram efetivamente comprometidos, o que levanta questões sobre a extensão real da situação. Além disso, o interesse dos hackers em sistemas que utilizam esses firewalls revela uma preocupação não apenas com a segurança digital das organizações afetadas, mas também com a integridade de dados críticos que podem estar em risco. A Arctic Wolf, outra empresa americana de cibersegurança, também comunicou que seus pesquisadores identificaram atividade de exploração dos dois bugs já em 19 de novembro, logo após a divulgação de um exploit de prova de conceito, indicando que os invasores estavam prontos para atacar rapidamente após o surgimento das vulnerabilidades.
Compreender o impacto dessas falhas vai além do número de firewalls comprometidos. A Arctic Wolf observou tentativas de invasores em transferir ferramentas para dentro do ambiente das instituições afetadas e extraírem arquivos de configuração de dispositivos comprometidos. Isso ressalta que a exploração dessas vulnerabilidades não se limita à intrusão, mas também abrange tentativas de criar um controle persistente nas redes das organizações atacadas, aumentando exponencialmente os riscos de segurança para os dados e operações das empresas.
Diante dessa grave situação, a Palo Alto Networks tomou a iniciativa de lançar patches para corrigir as vulnerabilidades e aconselhou todas as organizações afetadas a aplicarem as correções imediatas. A CISA (Agência de Cibersegurança e Segurança de Infraestrutura) dos EUA também adicionou essas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, o que efetivamente exige que as agências federais civis realizem as correções dentro de um período de três semanas, ilustrando a urgência do problema. A rápida resposta das autoridades aponta para a preocupação crescente em torno da segurança digital em uma era onde cada vez mais dependemos da tecnologia em nossas operações diárias.
Pesquisadores da WatchTowr Labs, quem conduziu engenharia reversa dos patches da Palo Alto, apontaram que as falhas tiveram origem em erros básicos durante o processo de desenvolvimento. Esse incidente não é um caso isolado, mas apenas mais uma vulnerabilidade encontrada em dispositivos de segurança corporativa, como firewalls, produtos de VPN e ferramentas de acesso remoto, que fazem a função de guardiões digitais no limite das redes das empresas. Esta notificação de segurança da Palo Alto é a segunda importante do ano, somando-se a falhas encontradas em produtos desenvolvidos por outros fornecedores de cibersegurança, como Ivanti e Check Point. Em um momento em que os desafios da cibersegurança parecem crescer, fica a lição de que a proteção dos sistemas deve ser prioridade não apenas para as empresas, mas para toda a sociedade.