La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el jueves una falla de seguridad crítica, ahora parchada, que afecta a Palo Alto Networks Expedition a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
La vulnerabilidad, identificada como CVE-2024-5910 (puntaje CVSS: 9.3), se refiere a un caso de falta de autenticación en la herramienta de migración Expedition que podría llevar a una toma de control de la cuenta de administrador.
«Palo Alto Expedition contiene una vulnerabilidad de autenticación faltante que permite a un atacante con acceso a la red tomar el control de una cuenta de administrador de Expedition y potencialmente acceder a secretos de configuración, credenciales y otros datos», dijo CISA en una alerta.
La deficiencia afecta a todas las versiones de Expedition anteriores a la versión 1.2.92, que se lanzó en julio de 2024 para solucionar el problema.
Actualmente no hay informes sobre cómo se está utilizando la vulnerabilidad en ataques del mundo real, pero Palo Alto Networks ha revisado desde entonces su aviso original para reconocer que está «al tanto de los informes de CISA de que hay evidencia de explotación activa».
También se han añadido al catálogo de KEV otras dos fallas, incluida una vulnerabilidad de escalada de privilegios en el componente Android Framework ( CVE-2024-43093 ) que Google reveló esta semana como objeto de «explotación limitada y dirigida».
El otro defecto de seguridad es CVE-2024-51567 (puntuación CVSS: 10,0), un fallo crítico que afecta a CyberPanel y que permite a un atacante remoto no autenticado ejecutar comandos como root . El problema se ha resuelto en la versión 2.3.8.
A fines de octubre de 2023, se supo que la vulnerabilidad estaba siendo explotada en masa por actores maliciosos para implementar el ransomware PSAUX en más de 22.000 instancias de CyberPanel expuestas a Internet, según LeakIX y un investigador de seguridad que usa el alias en línea Gi7w0rm .
LeakIX también señaló que tres grupos distintos de ransomware aprovecharon rápidamente la vulnerabilidad, cifrando archivos varias veces en algunos casos.
Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 28 de noviembre de 2024, para proteger sus redes contra amenazas activas.
Fuente y redacción: thehackernews.com
