Explotada vulnerabilidad sin parche en firewalls de Palo Alto
El fallo afecta a la interfaz de administración de los dispositivos, que el fabricante recomienda no exponer a Internet
En un primer aviso publicado el 8 de noviembre Palo Alto Networks advertía de un fallo de seguridad que afectaba al endpoint de administración de sus firewalls de nueva generación. La explotación del mismo permitiría a un atacante ejecutar código de forma remota en los sistemas vulnerables.
Menos de una semana después el aviso se ha actualizado indicando que ya se han detectado ataques contra entidades aprovechando esta vulnerabilidad que aún no tiene parche publicado.
Mientras trabaja en un fix el fabricante recomienda que se deshabilite el acceso a la interfaz de administración a través de Internet, restringiendo el acceso a direcciones IP privadas de confianza.
A pesar del aviso se estima que entre 8.700 y 11.200 instancias del panel de administración del firewall de Palo Alto Networks siguen siendo accesibles desde direcciones públicas de Internet.
La explotación exitosa de la vulnerabilidad detectada permite a los atacante ejecutar código de forma remota y sin necesidad de autenticación, por lo que es crucial seguir las recomendaciones del fabricante para salvaguardar estos dispositivos tan críticos en la protección de redes corporativas.
El fallo de seguridad no tiene de momento un CVE asociado, se cataloga por el fabricante con la nomenclatura PAN-SA-2024–0015.
En el caso de que la interfaz esté expuesta a Internet se le calcula una criticidad de 9.3 en la escala CVSS, mientras que para instancias accesibles solo desde direcciones IP internas esta se reduce a 7.5 puntos, puesto que se requiere acceso previo a la red en la que se encuentra el dispositivo.
Palo Alto Networks ha puesto a disposición de los interesados una forma sencilla para que puedan comprobar si sus dispositivos son vulnerables y están expuestos a Internet.
No se han indicado por el momento las versiones afectadas, pero se considera que Prisma Access y la versión en la nube de los firewall de nueva generación del fabricante no son explotables.
Esperemos que el parche no tarde mucho en publicarse y ser implementado, dada la gravedad de la vulnerabilidad y la criticidad de los dispositivos a los que atañe.
Fuentes y más información:
- https://security.paloaltonetworks.com/PAN-SA-2024-0015
- https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-critical-rce-zero-day-exploited-in-attacks/
- https://www.rapid7.com/blog/post/2024/11/15/etr-zero-day-exploitation-targeting-palo-alto-networks-firewall-management-interfaces/
- https://www.infosecurity-magazine.com/news/palo-alto-confirms-new-0day/
