Ciberseguridad 360 | Palo Alto Networks emite soluciones críticas para abordar la vulnerabilidad PAN-OS explotada

Palo Alto Networks ha publicado revisiones para solucionar un fallo de seguridad de m�xima gravedad que afecta al software PAN-OS y que ha sido objeto de explotaci�n activa.

Identificada como CVE-2024-3400 (puntuaci�n CVSS: 10,0), la vulnerabilidad cr�tica es un caso de inyecci�n de comandos en la funci�n GlobalProtect que un atacante no autenticado podr�a aprovechar para ejecutar c�digo arbitrario con privilegios de root en el cortafuegos.

Las correcciones de la deficiencia est�n disponibles en las siguientes versiones

PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1, y
PAN-OS 11.1.2-h3

Se espera que en los pr�ximos d�as se publiquen parches para otras versiones de mantenimiento utilizadas habitualmente.

"Este problema es aplicable �nicamente a los cortafuegos PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos) y la telemetr�a de dispositivos activada", aclar� la empresa en su aviso actualizado.

Tambi�n se�ala que, si bien los cortafuegos Cloud NGFW no est�n afectados por CVE-2024-3400, s� lo est�n versiones espec�ficas de PAN-OS y distintas configuraciones de caracter�sticas de las m�quinas virtuales de cortafuegos desplegadas y gestionadas por los clientes en la nube.

Por el momento se desconoce el origen exacto de la amenaza que explota el fallo, pero la Unidad 42 de Palo Alto Networks est� rastreando la actividad maliciosa bajo el nombre de Operaci�n MidnightEclipse.

Volexity, que lo atribuy� a un cl�ster apodado UTA0218, dijo que CVE-2024-3400 ha sido aprovechado desde al menos el 26 de marzo de 2024 para ofrecer una puerta trasera basada en Python llamada UPSTYLE en el cortafuegos que permite la ejecuci�n de comandos arbitrarios a trav�s de peticiones especialmente dise�adas.

No est� claro cu�n generalizada ha sido la explotaci�n, pero la firma de inteligencia de amenazas dijo que tiene "evidencia de una posible actividad de reconocimiento que implica una explotaci�n m�s generalizada destinada a identificar sistemas vulnerables."

En los ataques documentados hasta la fecha, se ha observado que UTA0218 desplegaba cargas �tiles adicionales para lanzar shells inversos, exfiltrar datos de configuraci�n de PAN-OS, eliminar archivos de registro y desplegar la herramienta de tunelizaci�n Golang denominada GOST (GO Simple Tunnel).

Se dice que no se ha desplegado ning�n otro malware de seguimiento o m�todos de persistencia en las redes de las v�ctimas, aunque se desconoce si es por dise�o o debido a la detecci�n y respuesta tempranas.

Fuente: thehackernews