Una amenaza crítica para la gestión de firewalls
Palo Alto Networks ha confirmado la explotación activa de una vulnerabilidad de día cero que afecta a la interfaz de gestión de su sistema operativo PAN-OS. Este fallo, que aún no cuenta con un identificador CVE asignado, permite la ejecución remota de comandos sin necesidad de autenticación, alcanzando una puntuación crítica de 9.3 en el sistema CVSS.
Detalles de la vulnerabilidad
La vulnerabilidad presenta un bajo nivel de complejidad de ataque y no requiere interacción ni privilegios del usuario para ser explotada. Sin embargo, en casos donde el acceso a la interfaz de gestión está limitado a direcciones IP específicas, la severidad baja a “alta” (CVSS: 7.5), ya que el atacante necesitaría acceso privilegiado a dichas IPs.
Se ha identificado que los actores maliciosos están utilizando esta vulnerabilidad para desplegar web shells en dispositivos comprometidos, otorgándoles acceso remoto persistente.
Indicadores de compromiso (IoCs)
Palo Alto Networks ha publicado indicadores de compromiso que incluyen las siguientes direcciones IP sospechosas, desde las cuales se ha detectado actividad maliciosa:
- 136.144.17[.]
- 173.239.218[.]251
- 216.73.162[.]
La empresa advirtió que estas IPs podrían representar actividad legítima de terceros a través de VPNs, pero insta a los administradores a monitorear cualquier actividad inusual.
Recomendaciones inmediatas
Aunque aún no se han lanzado parches para esta vulnerabilidad, Palo Alto Networks recomienda enfáticamente a sus usuarios:
- Restringir el acceso a la interfaz de gestión a un grupo limitado de direcciones IP confiables.
- Monitorear posibles compromisos utilizando los IoCs proporcionados.
- Implementar medidas de mitigación temporal, como bloquear el acceso a la interfaz de gestión desde direcciones no autorizadas.
Contexto de otras vulnerabilidades activas
Este incidente ocurre en medio de reportes de explotación activa de tres vulnerabilidades críticas adicionales en la herramienta Palo Alto Networks Expedition:
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), estas vulnerabilidades también están siendo aprovechadas en ataques recientes.
¿Qué sigue para los usuarios de PAN-OS?
Mientras Palo Alto Networks trabaja en un parche oficial, se insta a las organizaciones a priorizar la protección de sus interfaces de gestión para evitar la explotación de esta vulnerabilidad crítica.
Nota: Los productos Prisma Access y Cloud NGFW no están afectados por este fallo.