Palo Alto Networks waarschuwt organisaties voor een actief aangevallen zerodaylek waardoor aanvallers de firewalls van het bedrijf kunnen overnemen. Een update is nog niet beschikbaar, wel een mitigatie. De kwetsbaarheid, aangeduid als CVE-2024-3400, maakt het mogelijk voor een ongeautenticeerde aanvaller om op de firewall willekeurige code met rootrechten uit te voeren. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Misbruik zou al zeker sinds 26 maart plaatsvinden.

Securitybedrijf Volexity laat weten dat het op 10 april zeroday-aanvallen waarnam waarbij de kwetsbaarheid werd misbruikt. Bij de aanval plaatste de aanvaller een reverse shell en downloadde aanvullende tools op de firewall, alsmede een backdoor. Tevens werden configuratiegegevens van de firewall geëxporteerd en gebruikte de aanvaller de firewall als springplank om zich lateraal door het netwerk van de aangevallen organisaties te bewegen.

Bij de aangevallen organisaties werd Windows-gerelateerde data gestolen, alsmede inloggegevens, cookies en andere data uit Google Chrome en Microsoft Edge. Via deze data kon de aanvaller de browser master key stelen en gevoelige gegevens ontsleutelen, zoals opgeslagen inloggegevens. "Het aanvallen van edge-apparaten blijft een populaire aanvalsvector voor aanvallers die tijd en middelen hebben om nieuwe kwetsbaarheden te ontdekken", aldus Volexity. Dat stelt op basis van loggegevens dat misbruik al sinds 26 maart plaatsvindt.

In een aanvullende analyse laat Palo Alto Networks weten dat op dit moment één aanvaller misbruik van de zeroday maakt, maar het is de verwachting dat andere aanvallers nu zullen volgen. Een beveiligingsupdate is nog niet beschikbaar gemaakt, wel twee mitigaties. Een daarvan betreft het uitschakelen van de telemetrie, de ander het inschalen van 'Threat ID 95187'.