Palo Alto Networks ha publicado revisiones para abordar una falla de seguridad de máxima gravedad que afecta al software PAN-OS que ha sido objeto de explotación activa en la naturaleza.
Registrada como CVE-2024-3400 (puntuación CVSS: 10.0), la vulnerabilidad crítica es un caso de inyección de comando en la función GlobalProtect que un atacante no autenticado podría utilizar como arma para ejecutar código arbitrario con privilegios de root en el firewall.
Las soluciones para la deficiencia están disponibles en las siguientes versiones:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1 y
- PAN-OS 11.1.2-h3
Se espera que en los próximos días se publiquen parches para otras versiones de mantenimiento comúnmente implementadas.
«Este problema se aplica sólo a los firewalls PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos) y la telemetría del dispositivo habilitada», aclaró la compañía en su aviso actualizado.
También dijo que, si bien los firewalls Cloud NGFW no se ven afectados por CVE-2024-3400, las versiones específicas de PAN-OS y las distintas configuraciones de funciones de las máquinas virtuales de firewall implementadas y administradas por los clientes en la nube se ven afectadas.
Actualmente se desconocen los orígenes exactos del actor de amenazas que explota la falla, pero la Unidad 42 de Palo Alto Networks está rastreando la actividad maliciosa bajo el nombre Operation MidnightEclipse .
Volexity, que lo atribuyó a un clúster denominado UTA0218, dijo que CVE-2024-3400 se ha aprovechado desde al menos el 26 de marzo de 2024 para ofrecer una puerta trasera basada en Python llamada UPSTYLE en el firewall que permite la ejecución de comandos arbitrarios a través de solicitudes elaboradas.
No está claro qué tan extendida ha sido la explotación, pero la firma de inteligencia de amenazas dijo que tiene «evidencia de una posible actividad de reconocimiento que involucra una explotación más generalizada destinada a identificar sistemas vulnerables».
En los ataques documentados hasta la fecha, se ha observado que UTA0218 implementa cargas útiles adicionales para iniciar shells inversos, filtrar datos de configuración de PAN-OS, eliminar archivos de registro e implementar la herramienta de tunelización Golang denominada GOST (GO Simple Tunnel).
No se dice que se haya implementado ningún otro malware de seguimiento o método de persistencia en las redes de las víctimas, aunque se desconoce si es por diseño o debido a una detección y respuesta tempranas.
Fuente y redacción: thehackernews.com
