เตือนช่องโหว่ Zero Day บน Palo Alto Networks ความเสี่ยงระดับ 10.0

Palo Alto Networks ผู้ให้บริการแพลตฟอร์ม Cybersecurity ชื่อดัง ประกาศเตือนช่องโหว่ OS Command Injection ที่พบบนฟีเจอร์ GlobalProtect ของระบบปฏิบัติการ PAN-OS ซึ่งช่วยให้แฮ็กเกอร์ลอบรันคำสั่งด้วยสิทธิ์ระดับสูงสุดบนตัวอุปกรณ์ได้ โดยมีรายงานการถูกโจมตีแล้วตอนนี้

ช่องโหว่ดังกล่าวมีรหัส CVE-2024-3400 มีคะแนน CVSS ที่ 10.0 ซึ่งเป็นความเสี่ยงระดับสูงสุด ค้นพบโดยบริษัท Volexity โดย Palo Alto Networks ระบุใน Security Adversaries ที่เพิ่งเผยแพร่วันนี้ว่า เป็นช่องโหว่ Command Injection บนฟีเจอร์ GlobalProtect ของระบบปฏิบัติการ PAN-OS บางเวอร์ชัน ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมด้วยสิทธิ์ระดับ Root บนอุปกรณ์ Firewall ได้โดยไม่ต้องพิสูจน์ตัวตน

ช่องโหว่นี้ส่งผลกระทบกับ PAN-OS เวอร์ชัน 10.2, 11.0 และ 11.1 ที่เปิดใช้งานและมีการตั้งค่า GlobalProtect Gateway (Network > GlobalProtect > Gateways) และ Device Telemetry (Device > Setup > Telemetry) ขณะนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่ คาดว่า Palo Alto Networks จะออกแพตช์ภายในวันที่ 14 เมษายนนี้

ขณะนี้ยังไม่มีรายละเอียดเชิงเทคนิคเกี่ยวกับช่องโหว่ แต่เริ่มมีรายงานการถูกโจมตีผ่านช่องโหว่นี้แล้ว แนะนำให้ผู้ใช้ Palo Alto Networks ที่มี Threat Prevention เปิดใช้งาน Threat ID 95187 เพื่อรับมือกับช่องโหว่ดังกล่าวชั่วคราวก่อนที่แพตช์จะออก

ดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ได้ที่ https://security.paloaltonetworks.com/CVE-2024-3400

ที่มา: https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …