El proveedor de seguridad de redes Palo Alto Networks ha publicado una guía para mitigar una vulnerabilidad explotada activamente en PAN-OS, el software que alimenta sus firewalls de próxima generación (NGFW). La empresa todavía está trabajando en parches de software. La vulnerabilidad, CVE-2024-3400, que se encuentra en la función GlobalProtect de PAN-OS, se describe como un problema de inyección de comandos. La explotación exitosa permite a los atacantes no autenticados ejecutar código arbitrario con privilegios de root en el sistema.

Aunque la vulnerabilidad tiene una puntuación de 10 en el Common Vulnerability Scoring System (CVSS), solo afecta a ciertas versiones de PAN-OS con configuraciones de funciones específicas. Este problema solo se aplica a los firewalls que ejecutan las versiones 10.2, 11.0 y 11.1 del sistema operativo con las configuraciones GlobalProtect Gateway y Endpoint Telemetry habilitadas. indicado El proveedor lo indica en su aviso. Los clientes pueden comprobar si esto está configurado en el menú Red > GlobalProtect > Puertas de enlace de la interfaz web del firewall. La función de telemetría se puede comprobar en Dispositivo > Configuración > Telemetría.

Medidas de mitigación a aplicar

Se esperaba que ayer se lanzaran las revisiones para PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1, numeradas 10.2.9-h1, 11.0.4-h1 y 11.1.2-h3. Las versiones anteriores de PAN-OS no se ven afectadas, ni tampoco el servicio distribuido Cloud NGFW ni los dispositivos Prisma Access y Panorama. Hasta que se apliquen, la empresa recomienda a los clientes que habiliten el identificador de amenaza 95187 si tienen una suscripción de prevención de amenazas que bloqueará los ataques que explotan esta vulnerabilidad. Para que esto sea efectivo, también deben aplicar un perfil de seguridad de protección contra vulnerabilidades a su interfaz de GlobalProtect, lo que requiere cambios de configuración específicos. Se proporcionan instrucciones para hacerlo. en un nuevo artículo de la base de conocimientosLos usuarios sin una suscripción a Prevención de amenazas pueden temporalmente Deshabilitar la función de telemetría terminales hasta que los parches estén disponibles y se apliquen.

Palo Alto Networks afirma que el número de ataques que explotan la falla es “limitado”. El Centro Australiano de Seguridad Cibernética (ACSC) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) han emitido avisos que confirman la explotación activa. La CISA también ha añadido la falla a su catálogo de exploits conocidos. En los últimos dos años, el número de ataques de grupos de ciberespionaje patrocinados por estados dirigidos a dispositivos de seguridad de redes empresariales (cortafuegos, balanceadores de VPN, pasarelas de correo electrónico, etc.) ha aumentado drásticamente, a menudo a través de exploits de día cero, como es el caso actualmente. Estos dispositivos son objetivos atractivos porque se encuentran en el borde de la red y, una vez comprometidos, pueden servir como puntos de acceso a redes internas.