Palo Alto Networks ha revelado una vulnerabilidad crítica de desbordamiento de búfer en el software PAN-OS, identificada como CVE-2026-0300 (CVSS 9,3), que ya está siendo explotada activamente.
Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario con privilegios de administrador en los firewalls afectados de las series PA y VM, sin necesidad de credenciales, interacción del usuario ni condiciones especiales.
La vulnerabilidad reside en el servicio User-IDAuthentication Portal (también conocido como Captive Portal) de PAN-OS. Un atacante remoto no autenticado puede enviar paquetes especialmente diseñados para provocar una escritura fuera de límites (CWE-787), causando un desbordamiento de búfer que, en última instancia, permite la ejecución de código con privilegios de administrador en el firewall objetivo.
Con un vector de ataque de red, complejidad de ataque nula y sin necesidad de privilegios, esta vulnerabilidad es totalmente automatizable, lo que la convierte en una candidata ideal para campañas de explotación masiva.
Palo Alto Networks confirma que ya se ha observado una explotación limitada dirigida a portales de autenticación expuestos a direcciones IP no confiables e Internet. Por el momento, el organismo de control de amenazas Shadowserver está rastreando más de 5.800 firewalls de la serie PAN-OS VM expuestos en línea, la mayoría de ellos en Asia (2.466) y América del Norte (1.998).
La vulnerabilidad afecta a varias versiones de PAN-OS en firewalls de las series PA y VM. Las ramas afectadas incluyen:
- PAN-OS 12.1 - < 12.1.4-h5, < 12.1.7
- PAN-OS 11.2 - < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12
- PAN-OS 11.1 - < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15
- PAN-OS 10.2 - < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6
Cabe destacar que los dispositivos Prisma Access, Cloud NGFW y Panorama no se ven afectados. La vulnerabilidad solo afecta a los firewalls con el Portal de Autenticación User-ID habilitado explícitamente y accesible desde redes no confiables. Cuando el Portal de Autenticación está expuesto a internet, la puntuación CVSS alcanza su nivel máximo de amenaza en 9.3. Incluso en escenarios de redes adyacentes, la puntuación se mantiene en un nivel grave de 8.7.
Una explotación exitosa conlleva graves impactos, otorgando a los atacantes el control total del firewall objetivo. El perfil de riesgo es particularmente alarmante dada la alta concentración de valor de los firewalls empresariales, que actúan como puntos críticos de la red. Comprometer un firewall perimetral puede facilitar el movimiento lateral, la interceptación de tráfico, la obtención de credenciales y el control total de la red.
Palo Alto Networks ha confirmado que los parches se implementarán entre el 13 y el 28 de mayo de 2026, según la rama de PAN-OS. Hasta que se apliquen los parches, los administradores deben tomar de inmediato una de las siguientes medidas:
- Restringir el acceso al Portal de Autenticación únicamente a direcciones IP internas de confianza, siguiendo las directrices de mejores prácticas de Palo Alto.
- Deshabilitar completamente el Portal de Autenticación User-ID si no es necesario para la operación.
El 5 de mayo de 2026 se publicó una Firma de Prevención de Amenazas para PAN-OS 11.1 y versiones posteriores, que proporciona una capa adicional de detección y bloqueo para las organizaciones con licencia de prevención de amenazas.
Los equipos de seguridad deben auditar sus configuraciones de PAN-OS de inmediato accediendo a Dispositivo > Identificación de Usuario > Configuración del Portal de Autenticación para determinar la exposición.
Cualquier portal accesible desde Internet o zonas no confiables debe considerarse una prioridad de remediación urgente, dada la explotación confirmada de la vulnerabilidad CVE-2026-0300.
Fuente: CyberSecuerityNews
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!