Ciberseguridad 360 | CISA alerta sobre explotación activa de vulnerabilidad crítica en Palo Alto Networks

Ayer, CISA advirti� que los atacantes est�n explotando una vulnerabilidad cr�tica de falta de autenticaci�n en Palo Alto Networks Expedition, una herramienta de migraci�n que puede ayudar a convertir la configuraci�n del firewall de Checkpoint, Cisco y otros proveedores a PAN-OS.

Esta falla de seguridad, rastreada como CVE-2024-5910, fue parcheada en julio, y los actores de amenazas pueden explotarla remotamente para restablecer las credenciales de administraci�n de aplicaciones en servidores Expedition expuestos a Internet.

"Palo Alto Expedition contiene una vulnerabilidad de autenticaci�n ausente que permite a un atacante con acceso a la red hacerse con una cuenta de administrador de Expedition y acceder potencialmente a secretos de configuraci�n, credenciales y otros datos", afirma CISA.

Aunque la agencia de ciberseguridad a�n no ha proporcionado m�s detalles sobre estos ataques, Zach Hanley, investigador de vulnerabilidades de Horizon3.ai, public� en octubre una prueba de concepto de exploit que puede ayudar a encadenar este fallo de reinicio de administrador con una vulnerabilidad de inyecci�n de comandos CVE-2024-9464 (parcheada el mes pasado) para obtener la ejecuci�n de comandos arbitrarios "no autenticados" en servidores Expedition vulnerables.

CVE-2024-9464 puede encadenarse con otros fallos de seguridad (tambi�n corregidos por Palo Alto Networks en octubre) para hacerse con el control de cuentas de administrador del firewall y secuestrar firewall PAN-OS.

Se recomienda a los administradores que no puedan instalar inmediatamente actualizaciones de seguridad para bloquear los ataques entrantes que restrinjan el acceso a la red de Expedition a los usuarios, hosts o redes autorizados.

"Todos los nombres de usuario, contrase�as y claves API de Expedition deben rotarse despu�s de actualizar a la versi�n fija de Expedition. Todos los nombres de usuario, contrase�as y claves API del firewall procesados por Expedition deben rotarse despu�s de la actualizaci�n", advierte la empresa.

Palo Alto Networks a�n no ha actualizado su aviso de seguridad para advertir a los clientes de los ataques CVE-2024-5910 en curso.

CISA tambi�n a�adi� la vulnerabilidad a su Cat�logo de Vulnerabilidades Explotadas Conocidas el jueves. Seg�n lo requerido por la directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021, las agencias federales estadounidenses ahora deben asegurar los servidores Expedition vulnerables de Palo Alto Networks en sus redes contra ataques en un plazo de tres semanas, antes del 28 de noviembre.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y plantean riesgos significativos para la empresa federal", advirti� la agencia de ciberseguridad.

Fuente: bleepingcomputer