Los administradores de firewalls de Palo Alto Networks Bajo presión después del descubrimiento la semana pasada de un nuevo defecto en Pan-OS. Por lo tanto, deben asegurarse de que los dispositivos estén completamente corregidos y que la interfaz de administración esté bloqueada para evitar que el acceso a Internet se abra el camino para una conexión de autenticación de conexión en este sistema operativo para firewalls. Los investigadores de GreyNoise han confirmado que la vulnerabilidad hace referencia a CVE-2025-0108, descubierta por los investigadores de AssetNote, todavía se explota. Palo Alto Networks explicar Que los directores puedan "reducir considerablemente el riesgo" de explotación al limitar el acceso a la interfaz web de administración solo a las direcciones IP de confianza interna, de acuerdo con sus directrices para implementar las mejores prácticas recomendadas. "Esta limitación asegura que los ataques solo puedan tener éxito si obtienen acceso privilegiado a través de estas direcciones IP especificadas", dijo el proveedor. Los expertos en seguridad advierten regularmente a los administradores de redes y a los profesionales de TI contra los peligros relacionados con la exposición de las interfaces de gestión de interfaz abiertas a Internet. Es posible protegerlos, ya sea accediendo a ellos a través de una red privada virtual (VPN), o restringiendo el acceso solo a direcciones IP internas.

Índice
  1. Encontrar equipos de riesgo
  2. Comportamiento extraño en el tratamiento de las rutas de acceso

Encontrar equipos de riesgo

Para averiguar qué activos requieren remediación, Palo Alto Networks anotado que los administradores deben ir a la sección de activos de su portal de atención al cliente "Soporte del portal del cliente" y buscar la sección requerida/remediación requerida. Aparecerá una lista de dispositivos con una interfaz de administración orientada a Internet y aparecerá un marcado "PAN-SA-SA-201024-0015". Si no se enumera ningún dispositivo, es porque no hay activos con una interfaz de administración orientada a Internet. Tenga en cuenta que si se ha configurado un perfil de administración en interfaces con portales o puentes de GlobalProtect, se expone un dispositivo PAN a través de la interfaz web de administración, generalmente accesible en el puerto 4443. El problema no afecta el acceso a la nube NGFW o Praga desde las redes Palo Alto. Según Greynoise, la granja comenzó alrededor del martes 11 de febrero. Assetnote publicó una investigación sobre la culpa el miércoles siguiente. Palo Alto Networks publicó su opinión sobre el mismo día.

Comportamiento extraño en el tratamiento de las rutas de acceso

AssetNote señala que la vulnerabilidad se traduce en "un comportamiento de tratamiento de carretera extraño" en la parte del servidor HTTP Apache de PAN-OS, que, con NGINX, trata las solicitudes web para acceder a la interfaz de administración PAN-OS. La consulta web primero golpea el proxy inverso Nginx, y si está en un puerto que indica que está destinado a la interfaz de administración, PAN-OS define varios encabezados. El más importante de ellos es X-Pan Authcheck. La configuración de NGINX luego pasa por varios controles de ubicación y desactiva selectivamente el control de autenticación. La solicitud se transmite a Apache, que la renuncia y la ordeña nuevamente, y aplica una regla de reescribir bajo ciertas condiciones. Si el archivo solicitado es un archivo PHP, Apache transmitirá la solicitud a través de MOD_PHP FCGI, que aplica la autenticación sobre la base del encabezado. El problema es que Apache puede tratar la ruta o los encabezados de manera diferente a Nginx antes de que la solicitud de acceso se transmitiera a PHP, de modo que si hay una diferencia en el procesamiento de la solicitud por parte de Nginx y de Apache, un atacante podría lograrse evitar la autenticación. AssetNote describe esto como un problema de arquitectura "bastante común" donde la autenticación se aplica en una capa de poder, pero donde la solicitud se transmite a una segunda capa con un comportamiento diferente. “Básicamente, estas arquitecturas conducen al contrabando de encabezados o contrabando de encabezado y la confusión de caminos, lo que puede conducir a muchos errores con un impacto potencial.