Hace unos días se reportó el hallazgo de una vulnerabilidad en PAN-OS, el sistema operativo empleado por las soluciones de firewall y red privada virtual (VPN) de Palo Alto Networks. Hoy, expertos en seguridad de aplicaciones y el Comando Cibernético de E.U. mencionaron que es altamente probable que los grupos de hackers patrocinados por actores estatales exploten esta falla como parte de campañas de ataque de alto perfil.

A través de Twitter, el Comando Cibernético instó a los usuarios de esta tecnología a instalar las actualizaciones: “Por favor, aplique los parches a todos los dispositivos afectados por CVE-2020-2021 de inmediato; grupos ATP podrían explotar esta vulnerabilidad”. Cabe recordar que Amenaza Persistente Avanzada (APT), es un término empleado por la comunidad de la ciberseguridad para referirse a los grupos de hacking auspiciados por otros gobiernos.    

Los expertos en seguridad de aplicaciones creen que este temor está completamente justificado, pues esta falla recibió un puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS), lo que significa que es fácil de explotar y requiere mínima interacción de las víctimas. El atacante potencial ni siquiera requiere acceso previo al dispositivo afectado.   

Respecto a los aspectos técnicos de la vulnerabilidad, ésta consiste en esquivar los mecanismos de autenticación de los sistemas afectados, lo que permite a los actores de amenazas acceder a los dispositivos vulnerables sin necesidad de emplear credenciales de inicio de sesión legítimas.

Gracias a esta vulnerabilidad, los atacantes podrían modificar las configuraciones de PAN-OS, lo que permitiría inhabilitar el firewall o bien modificar los controles de VPN, exponiendo la información de los usuarios. Para que el ataque sea exitoso, PAN-OS debe contar con configuraciones específicas; por ejemplo, la falla sólo es explotable si la opción ‘Validar certificado de proveedor de identidad’ está deshabilitada y si la opción SAML (Security Assertion Markup Language) está habilitada, mencionan los especialistas en seguridad de aplicaciones.

Algunos de los productos potencialmente vulnerables son:

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication & Captive Portal
  • Firewall PAN-OS de última generación
  • Sistemas Prisma Access

Aunque las configuraciones que requiere el ataque no están habilitadas (o inhabilitadas, según sea el caso) por defecto, algunos manuales de proveedores instruyen a los propietarios de PAN-OS a modificar estas configuraciones en casos determinados, lo que podría incrementar el alcance del ataque.

Además del Comando Cibernético, múltiples miembros de la comunidad de la ciberseguridad han pedido a los usuarios de implementaciones afectadas instalar las actualizaciones para prevenir una potencial campaña de explotación masiva.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

Fuente y redacción: noticiasseguridad.com

Compartir