Canal de Telegram

12 abr 2024

Segu-Info » , » Vulnerabilidad crítica de PAN-OS en Palo Alto Networks, bajo ataque activo (CVE-2024-3400)

Vulnerabilidad crítica de PAN-OS en Palo Alto Networks, bajo ataque activo (CVE-2024-3400)

12 abr 2024, 3:15:00 p.m.   Comenta primero!
  ,  

Palo Alto Networks advierte que una vulnerabilidad crítica que afecta su software PAN-OS utilizado en sus gateway GlobalProtect y está siendo explotada activamente. La vulnerabilidad permite la ejecucción de código remoto con privilegios de root.

Registrado como CVE-2024-3400, el problema tiene una puntuación CVSS de 10.

"Una vulnerabilidad de inyección de comandos en la función GlobalProtect en versiones y funciones específicas de PAN-OS puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en el firewall", dijo la compañía en un aviso.

La división Unit 42 de la compañía está rastreando la actividad bajo el nombre Operación MidnightEclipse, atribuyéndola como el trabajo de un único actor de amenazas de procedencia desconocida.

La falla afecta a las siguientes versiones de PAN-OS:

  • PAN-OS <11.1.2-h3
  • PAN-OS <11.0.4-h1
  • PAN-OS <10.2.9-h1

"Este problema se aplica sólo a los firewalls PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos) y la telemetría del dispositivo habilitada", aclaró la compañía en su aviso actualizado.

La compañía también dijo que el problema se aplica solo a los firewalls que tienen las configuraciones tanto para GlobalProtect gateway (Red > GlobalProtect > Gateway) como para la telemetría del dispositivo (Dispositivo > Configuración > Telemetría) habilitadas.

Si bien no hay otros detalles técnicos sobre la naturaleza de los ataques, Palo Alto Networks reconoció que "es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad".

Mientras tanto, recomienda a los clientes con una suscripción a Prevención de amenazas que habiliten el ID de amenaza 95187 para protegerse contra esta amenaza.

El desarrollo se produce cuando los actores de amenazas chinos han dependido cada vez más de Zero-Days que afectan a Barracuda Networks Fortinet, Ivanti, y VMware para violar objetivos de interés e implementar puertas traseras encubiertas para un acceso persistente.

"La habilidad y la velocidad empleadas por el atacante sugieren un actor de amenazas altamente capaz con un manual claro de a qué acceder para promover sus objetivos", dijo la firma estadounidense de ciberseguridad Volexity.

CISA agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias federales apliquen los parches antes del 19 de abril para mitigar amenazas potenciales. Palo Alto Networks publicó publicará las correcciones el 14 de abril (ya publicadas).

La operación MidnightEclipse (UTA0218) implica la explotación de la falla para crear un cron que se ejecuta cada minuto para recuperar comandos alojados en un servidor externo ("172.233.228[.]93/policy" o "172.233.228[.]93/patch"), que luego se ejecutan utilizando bash.

En los ataques documentados hasta la fecha, se ha observado que UTA0218 implementa cargas útiles adicionales para iniciar shells, filtrar datos de configuración de PAN-OS, eliminar archivos de registro e implementar la herramienta de tunelización Golang denominada GOST (GO Simple Tunnel).

Las búsquedas en Shodan, Fofa y Censys arrojan miles de dispositivos GlobalProtect en línea y posiblemente vulnerables. Los IOC se encuentran disponibles en el sitio de Volexity.

Actualización 14/04: este problema se solucionó en las versiones de revisión de PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 y en todas las versiones posteriores de PAN-OS. También estarán disponibles revisiones para otras versiones de mantenimiento.

Actualización 16/04

La empresa reconoce que las mitigaciones inicialmente recomendadas, la de deshabilitar la telemetría del dispositivo, NO es una forma eficaz de prevenir ataques. y se lanza del PoC del ataque.

ShadowServer Foundation informa que está detectando más de 156.000 dispositivos expuestos con esta vulnerabilidad.

Hay rumores sobre que el fallo se debe a un error de Gorilla y su addon Sessions. Gorilla es un toolkit para construir webs en Go con licencia BSD (más de 20 mil repositorios y más de 5.600 paquetes dependientes).

Actualización 25/04 - Guía de remediación

Palo Alto Networks ha compartido una guía de solución para la vulnerabilidad. Se ha solucionado en varias versiones de PAN-OS 10.2.x, 11.0.x y 11.1.x. Los consejos de Palo Alto Networks se basan en el alcance del compromiso:
  • Nivel 0 - intento de explotación fallido: actualizar a la última revisión proporcionada.
  • Nivel 1 - evidencia de vulnerabilidad que se está ejecutando en el dispositivo, incluida la creación de un archivo vacío en el firewall pero sin ejecución de comandos no autorizados. Actualizar a la última revisión proporcionada.
  • Filtración de nivel 2 - señales donde archivos como "running_config.xml" se copian a una ubicación a la que se puede acceder a través de solicitudes web: actualizar a la última revisión proporcionada y realizar un restablecimiento de datos privados.
  • Acceso interactivo de nivel 3 - evidencia de ejecución de comandos interactivos, como la introducción de puertas traseras y otros códigos maliciosos. Actualizar a la última revisión proporcionada y realizar un restablecimiento de fábrica.
"Realizar un restablecimiento de datos privados elimina los riesgos de un posible uso indebido de los datos del dispositivo. Se recomienda un restablecimiento de fábrica debido a la evidencia de actividad de actores de amenazas más invasivas".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!