Palo Alto Networks ha lanzado actualizaciones para corregir varias vulnerabilidades de riesgo medio y alto en sus productos PAN-OS y en la aplicación GlobalProtect. Estas vulnerabilidades podrían permitir que atacantes, tanto de forma local como remota, escalen privilegios y expongan claves de seguridad sensibles.
Vulnerabilidades corregidas
- CVE-2025-2182: Este fallo expone la Connectivity Association Key (CAK) del protocolo MACsec, lo que podría comprometer la seguridad de las comunicaciones cifradas internamente en la red si un atacante obtiene acceso a la infraestructura física.
- CVE-25-0141: Permite que un usuario con pocos privilegios eleve estos a un nivel alto, equivalente a los permisos de raíz o de sistema. Esto podría dar a un atacante el control total del dispositivo.
- CVE-2025-2183: Una validación incorrecta de certificados que podría permitir conexiones a servidores arbitrarios, la instalación de certificados raíz maliciosos o ataques de intermediario (Man-in-the-Middle o MITM).
Contexto y alcance
Las versiones parcheadas para PAN-OS y GlobalProtect ya han sido publicadas. Los usuarios deben actualizar con urgencia desde el Centro de Software de Palo Alto para mitigar los riesgos.
En particular, para el protocolo MACsec, los clusters de PAN-OS deben asegurarse de que están corriendo una versión que ya incluya el parche del CVE-2025-2182, de lo contrario, la clave que cifra y autentica el tráfico podría estar expuesta. En la aplicación GlobalProtect, los fallos solo aplican si ciertos componentes están presentes y la funcionalidad vulnerable está habilitada, lo que podría reducir el riesgo, aunque no lo elimina por completo.
Riesgos si no se corrige
La falta de una actualización oportuna podría llevar a los siguientes riesgos:
- Escalada de privilegios: Un atacante que obtenga acceso indirecto (por ejemplo, a través de una cuenta de bajo privilegio) podría escalar privilegios y tomar el control total del sistema o de las funciones críticas del dispositivo cliente.
- Ataques de suplantación: Si un atacante explota la vulnerabilidad de certificados (CVE-2025-2183), podría usar o emitir certificados falsos para suplantar la identidad de sistemas legítimos e interceptar el tráfico.
- Compromiso de la red física: En redes que usan MACsec para cifrar enlaces, la exposición de la CAK permitiría a un atacante capturar o responder al tráfico que debería estar cifrado y seguro.
Recomendaciones
- Actualizar inmediatamente: Instala todos los parches de seguridad para GlobalProtect y PAN-OS en tus dispositivos.
- Auditar certificados: Revisa tus políticas de certificados para asegurar que solo se acepten certificados raíz de confianza. Además, verifica que no se hayan instalado certificados maliciosos.
- Restringir privilegios: Asegúrate de que los usuarios solo tengan los privilegios necesarios para sus tareas, y refuerza el acceso administrativo para que solo el personal autorizado pueda realizar cambios en la configuración.
- Monitorear la red: Habilita alertas para detectar eventos inusuales relacionados con GlobalProtect, como actividad sospechosa en certificados o fallos de verificación.
- Revisar el uso de MACsec: Si utilizas este protocolo, inspecciona cómo se gestionan las claves y si existen posibles puntos de exposición física que puedan comprometer la seguridad del hardware de la red.
