Palo Alto Networks ha revelado la existencia de una vulnerabilidad de inyección de comandos no parcheada en su firewall PAN-OS, que está siendo activamente explotada en ataques.
La Amenaza Descubierta
La vulnerabilidad, detectada por Volexity y rastreada como CVE-2024-3400, es una brecha de inyección de comandos que ha recibido la máxima puntuación de gravedad, 10.0. Lo alarmante es que no requiere privilegios especiales ni interacción del usuario para ser explotada.
Impacto y Soluciones
La vulnerabilidad afecta a versiones específicas del software PAN-OS cuando tanto la puerta de enlace GlobalProtect como las características de telemetría del dispositivo están habilitadas. Las versiones vulnerables incluyen PAN-OS 10.2, 11.0 y 11.1. Afortunadamente, se esperan correcciones para estas versiones antes del 14 de abril de 2024.
Para abordar la amenaza inminente, Palo Alto Networks lanzará hotfixes con las siguientes versiones:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Productos como Cloud NGFW, dispositivos Panorama y Prisma Access no se ven afectados por esta vulnerabilidad.
Medidas de Mitigación
Dado que CVE-2024-3400 ya está siendo explotado activamente, los usuarios afectados deben aplicar mitigaciones de inmediato para reducir el riesgo hasta que estén disponibles las actualizaciones de seguridad. Las medidas propuestas incluyen:
- Bloquear ataques activando ‘Threat ID 95187’ para usuarios con una suscripción activa de ‘Prevención de Amenazas’.
- Configurar la protección de vulnerabilidades en las ‘Interfaces de GlobalProtect‘ para prevenir la explotación.
- Deshabilitar la telemetría del dispositivo hasta que se apliquen los parches de corrección.
Consecuencias Potenciales
Según el investigador de amenazas Yutaka Sejiyama, hay aproximadamente 82,000 dispositivos expuestos en línea que podrían ser vulnerables a CVE-2024-3400, con un 40% ubicado en los Estados Unidos.
Palo Alto Networks es consciente del riesgo inherente a sus dispositivos en redes corporativas, recordando un incidente anterior en agosto de 2022 cuando hackers aprovecharon otro zero-day en PAN-OS para llevar a cabo ataques de denegación de servicio amplificado (DoS) TCP.
Acción Urgente
Es crucial que los administradores tomen medidas inmediatas para asegurar sus sistemas. Con la amenaza latente, la seguridad cibernética se convierte en una prioridad ineludible para proteger los activos digitales y la continuidad del negocio.