ClickCease Ataque de día cero de Palo Alto: Fallo de PAN-OS explotado activamente

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ataque de día cero de Palo Alto: Fallo de PAN-OS explotado activamente

Wajahat Raja

25 de abril de 2024 - Equipo de expertos TuxCare

Palo Alto Networks, empresa líder en ciberseguridad, ha emitido recientemente una advertencia sobre una vulnerabilidad crítica en su software PAN-OS, que afecta específicamente a sus puertas de enlace GlobalProtect. La dirección ataque de día cero de Palo Alto falloidentificado como CVE-2024-3400tiene una puntuación máxima de gravedad CVSS de 10,0, lo que refleja el riesgo crítico que supone para los usuarios. Permite a atacantes no autenticados ejecutar código arbitrario con privilegios de root en el cortafuegos, lo que supone una grave amenaza para los sistemas afectados.

 

Vulnerabilidad de inyección de comandos - Palo Alto Exploit In The Wild


La principal preocupación con el
ataque de día cero de Palo Alto es un problema de inyección de comandos en la función GlobalProtect de PAN-OS. Este fallo podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el cortafuegos, lo que supone un riesgo significativo para los sistemas afectados.

Según un aviso publicado por Palo Alto Networks, la vulnerabilidad puede afectar a determinadas versiones de PAN-OS, dependiendo de configuraciones específicas. Las versiones que se han visto afectadas incluyen:

 

  • Versiones de PAN-OS anteriores a 11.1.2-h3
  • Versiones de PAN-OS anteriores a 11.0.4-h1
  • Versiones de PAN-OS anteriores a 10.2.9-h1

 

En ciberseguridad vulnerabilidad de día cero está siendo explotada actualmente, por lo que es crucial que los usuarios afectados tomen medidas inmediatas. Si el gateway GlobalProtect y la telemetría del dispositivo están configurados, el riesgo de explotación es significativamente mayor. Es esencial que las organizaciones que utilicen estas versiones afectadas apliquen los parches en cuanto estén disponibles.

 

Detalles del ataque de día cero de Palo Alto y su explotación


En
brecha de seguridad de Palo Alto Networks fue identificada por primera vez por los investigadores de Volexity el 10 de abril, después de que se detectaran alertas sobre tráfico de red sospechoso en el cortafuegos de un cliente. Investigaciones posteriores revelaron que el atacante, rastreado como UTA0218, había estado explotando la vulnerabilidad desde el 26 de marzo.

 

Exploits dirigidos a dispositivos Palo Alto


Durante su investigación, los investigadores descubrieron que el atacante explotó remotamente el fallo para crear un shell inverso, lo que le permitió descargar y ejecutar herramientas de post-explotación, incluyendo una nueva puerta trasera basada en Python. Esta puerta trasera personalizada, llamada UPSTYLE, permite a los atacantes ejecutar comandos adicionales en el dispositivo a través de peticiones de red especialmente diseñadas.

El objetivo principal del atacante era exportar los datos de configuración de los dispositivos y utilizarlos para moverse lateralmente dentro de la organización de la víctima. Esta ciberamenaza vulnerabilidad de Palo Alto puede tener graves consecuencias para la seguridad e integridad de la red.


Fallo de seguridad crítico Medidas de mitigación de Palo Alto Networks 


A la espera de los parches oficiales,
Palo Alto Networks recomienda desactivar temporalmente la telemetría de dispositivos para mitigar el riesgo. Se aconseja a los clientes que comprueben sus interfaces web de cortafuegos para ver si hay entradas que indiquen si la puerta de enlace GlobalProtect y la telemetría de dispositivos están configuradas. Aunque es una solución temporal, esta medida puede ayudar a reducir el riesgo de explotación hasta que las correcciones estén listas.


Recomendaciones


Asesor de seguridad de Palo Alto Networks
y proporciona orientación esencial para mitigar los riesgos de ciberseguridad. Usuarios afectados por el ciberataque a los firewalls de Palo Alto se les recomienda encarecidamente que apliquen los parches tan pronto como estén disponibles para proteger sus sistemas frente a posibles ataques. Mientras tanto, seguir las medidas de mitigación sugeridas puede proporcionar cierto nivel de protección.

Además, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) ha añadido la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas, subrayando la importancia de parchear rápidamente los sistemas afectados. Las agencias federales tienen de plazo hasta el 19 de abril para parchear el fallo.


Conclusión


En resumen, el crítico
incidente de ciberseguridad de Palo Alto Networks supone una amenaza significativa para las organizaciones que utilizan la función GlobalProtect de PAN-OS. Es esencial que las organizaciones que utilicen las versiones afectadas de PAN-OS apliquen las medidas de mitigación y los parches lo antes posible. parches lo antes posible para proteger sus sistemas de los ataques.

Mantener sus sistemas actualizados con los últimos parches de seguridad es crucial para mantener la integridad y seguridad de su infraestructura de red. Las organizaciones deben mantenerse alerta y vigilar cualquier indicio de explotación para abordar con prontitud cualquier incidente de seguridad.

Las fuentes de este artículo incluyen artículos en The Hacker News y Descifrar.

Resumen
Ataque de día cero de Palo Alto: Fallo de PAN-OS explotado activamente
Nombre del artículo
Ataque de día cero de Palo Alto: Fallo de PAN-OS explotado activamente
Descripción
Obtenga información sobre el ataque crítico de día cero de Palo Alto, su impacto en el software PAN-OS y cómo proteger sus sistemas. Obtenga las últimas actualizaciones.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín