Si bien inicialmente parecía que sería posible proteger los firewalls de Palo Alto Network de ataques que aprovecharan CVE-2024-3400 desactivando la telemetría de los dispositivos, ahora se ha confirmado que esta mitigación no es efectiva.
«No es necesario habilitar la telemetría del dispositivo para que los firewalls PAN-OS queden expuestos a ataques relacionados con esta vulnerabilidad», señaló Palo Alto Networks el martes, y dijo que son conscientes de un «número cada vez mayor de ataques que aprovechan la explotación de esta vulnerabilidad». vulnerabilidad.»
Nuevos hallazgos
El viernes pasado, Palo Alto Networks advirtió sobre CVE-2024-3400, una vulnerabilidad crítica de inyección de comandos de día cero en sus firewalls que ejecutan PAN-OS v10.2, 11.0 y 11.1 con las configuraciones tanto para la puerta de enlace GlobalProtect como para la telemetría del dispositivo habilitadas . explotado por actores de amenazas con buenos recursos para instalar una puerta trasera y utilizar el acceso obtenido para moverse lateralmente en las redes de las organizaciones objetivo.
En ese momento, la compañía dijo que hasta que las revisiones estén listas, los clientes podrían mitigar la amenaza de explotación habilitando firmas de amenazas específicas y deshabilitando la telemetría del dispositivo.
Las revisiones comenzaron a publicarse el domingo, pero Palo Alto Networks confirmó el martes que esta última mitigación ya no es efectiva.
El miércoles, la compañía publicó nuevas firmas de amenazas y compartió un comando CLI que los clientes pueden usar para identificar indicadores de actividad de explotación en el dispositivo.
También reiteraron que los firewalls con esas versiones específicas de PAN-OS son vulnerables si se configuran con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos).
Los ataques que aprovechan CVE-2024-3400 están aumentando
El martes, WatchTowr Labs publicó su análisis de la vulnerabilidad y un exploit de prueba de concepto, y el CTO de TrustedSec, Justin Elze, compartió un exploit aprovechado activamente.
Greynoise ha comenzado a ver intentos de explotación.
Los clientes de Palo Alto Network que ejecutan firewalls vulnerables deben implementar revisiones lo antes posible y verificar si hay indicadores de compromiso.
“Si descubre que su dispositivo firewall GlobalProtect de Palo Alto Network está comprometido, es importante tomar medidas inmediatas. Asegúrese de no limpiar ni reconstruir el aparato. Recopilar registros, generar un archivo de soporte técnico y preservar los artefactos forenses (memoria y disco) del dispositivo son cruciales”, aconsejaron los investigadores de Volexity .
Pero incluso si no encuentra indicadores de compromiso, es una buena idea realizar estas acciones antes de aplicar la revisión.
Fuente y redacción: helpnetsecurity.com