Vulnerabilidad crítica de PAN-OS en Palo Alto Networks

Iniciado por AXCESS, Abril 15, 2024, 02:17:55 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 15, 2024, 02:17:55 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Palo Alto Networks advierte que una vulnerabilidad crítica que afecta su software PAN-OS utilizado en sus gateway GlobalProtect y está siendo explotada activamente. La vulnerabilidad permite la ejecucción de código remoto con privilegios de root.

Registrado como CVE-2024-3400, el problema tiene una puntuación CVSS de 10.

"Una vulnerabilidad de inyección de comandos en la función GlobalProtect en versiones y funciones específicas de PAN-OS puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en el firewall", dijo la compañía en un aviso.

La división Unit 42 de la compañía está rastreando la actividad bajo el nombre Operación MidnightEclipse, atribuyéndola como el trabajo de un único actor de amenazas de procedencia desconocida.
La falla afecta a las siguientes versiones de PAN-OS y se espera que las correcciones se publiquen el 14 de abril de 2024:

•   PAN-OS <11.1.2-h3

•   PAN-OS <11.0.4-h1

•   PAN-OS <10.2.9-h1

La compañía también dijo que el problema se aplica solo a los firewalls que tienen las configuraciones tanto para GlobalProtect gateway (Red > GlobalProtect > Gateway) como para la telemetría del dispositivo (Dispositivo > Configuración > Telemetría) habilitadas.

Si bien no hay otros detalles técnicos sobre la naturaleza de los ataques, Palo Alto Networks reconoció que "es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad".

Mientras tanto, recomienda a los clientes con una suscripción a Prevención de amenazas que habiliten el ID de amenaza 95187 para protegerse contra esta amenaza.

El desarrollo se produce cuando los actores de amenazas chinos han dependido cada vez más de Zero-Days que afectan a Barracuda Networks Fortinet, Ivanti, y VMware para violar objetivos de interés e implementar puertas traseras encubiertas para un acceso persistente.

"La habilidad y la velocidad empleadas por el atacante sugieren un actor de amenazas altamente capaz con un manual claro de a qué acceder para promover sus objetivos", dijo la firma estadounidense de ciberseguridad Volexity.

CISA agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias federales apliquen los parches antes del 19 de abril para mitigar amenazas potenciales. Se espera que Palo Alto Networks publique correcciones para la falla a más tardar el 14 de abril.

La operación MidnightEclipse implica la explotación de la falla para crear un cron que se ejecuta cada minuto para recuperar comandos alojados en un servidor externo ("172.233.228[.]93/policy" o "172.233.228[.]93/patch"), que luego se ejecutan utilizando bash.

Las búsquedas en Shodan y Censys arrojan miles de dispositivos GlobalProtect en línea y posiblemente vulnerables. Los IOC se encuentran disponibles en el sitio de Volexity.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario