Vulnerabilidad crítica Palo Alto Networks CVE-2024-3400

El viernes 12 de abril de 2024 Palo Alto Networks publicó información sobre una nueva vulnerabilidad crítica identificada como CVE-2024-3400 que tiene la criticidad máxima con un puntaje CVSSv3 de 10 y está siendo activamente explotada distribuyendo malware. Esta vulnerabilidad podría permitirle a un atacante inyectar código malicioso con privilegios de root en el firewall, concretamente en la función GlobalProtect de PAN-OS para versiones específicas. Los equipos afectados son aquellos con las configuraciones de GlobalProtect Gateway y Device Telemetry habilitadas. Las correcciones para PAN-OS 10.2, PAN-OS 11.0 Y PAN-OS 11.1 ya han sido lanzadas y es recomendable actualizar los equipos lo antes posible para mitigar riesgos.

Versiones afectadas

Producto	Versión afectada	Versión con parche
PAN-OS 11.1	Todas las versiones por debajo a la 11.1.2-h3	Mayor igual a la 11.1.2-h3
PAN-OS 11.0	Todas las versiones por debajo a la 11.0.4-h1	Mayor igual a la 11.0.4-h1
PAN-OS 10.2	Todas las versiones por debajo a la 10.2.9-h1	Mayor igual a la 10.2.9-h1

Palo Alto Networks mencionó que aquellos clientes con la suscripción Threat Prevention pueden bloquear ataques de esta vulnerabilidad al habilitar el Threat ID 95187 [1]. Por otro lado, la CISA (Cybersecurity & Infrastructure Security Agency) ha agregado esta vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas [4]. 

Por otro lado, Palo Alto Networks anunció nuevas versiones para los productos afectados de PAN-OS, los cuales serán lanzados a lo largo de esta semana:

PAN-OS 10.2:

• 10.2.9-h1 (Lanzada el 4/14/24)
• 10.2.8-h3 (Fecha de lanzamiento estimada: 4/15/24)
• 10.2.7-h8 (Fecha de lanzamiento estimada: 4/15/24)
• 10.2.6-h3 (Fecha de lanzamiento estimada: 4/15/24)
• 10.2.5-h6 (Fecha de lanzamiento estimada: 4/16/24)
• 10.2.3-h13 (Fecha de lanzamiento estimada: 4/17/24)
• 10.2.1-h2 (Fecha de lanzamiento estimada: 4/17/24)
• 10.2.2-h5 (Fecha de lanzamiento estimada: 4/18/24)
• 10.2.0-h3 (Fecha de lanzamiento estimada: 4/18/24)
• 10.2.4-h16 (Fecha de lanzamiento estimada: 4/19/24)

PAN-OS 11.0:

• 11.0.4-h1 (Lanzada el 4/14/24)
• 11.0.3-h10 (Fecha de lanzamiento estimada: 4/15/24)
• 11.0.2-h4 (Fecha de lanzamiento estimada: 4/16/24)
• 11.0.1-h4 (Fecha de lanzamiento estimada: 4/17/24)
• 11.0.0-h3 (Fecha de lanzamiento estimada: 4/18/24)

PAN-OS 11.1:

• 11.1.2-h3 ((Lanzada el 4/14/24)
• 11.1.1-h1 (Fecha de lanzamiento estimada: 4/16/24)
• 11.1.0-h3 (Fecha de lanzamiento estimada: 4/17/24)

Recomendaciones

• Asegurarse de que la protección contra vulnerabilidades esté configurada en las “GlobalProtect interfaces” para evitar la explotación [4].
• Esperar al lanzamiento de las nuevas versiones con parche para actualizar los equipos de PAN-OS afectados y así mitigar riesgos.
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

 

1. Palo Alto Networks. (2024, abril 12). CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway. Palo Alto Networks Security. Recuperado el 12 de abril de 2024 en: https://security.paloaltonetworks.com/CVE-2024-3400
2. Newsroom. (2024, abril 12). Zero-Day Alert: Critical Palo Alto Networks PAN-OS Flaw Under Active Attack. The Hacker News. Recuperado el 12 de abril de 2024 en: https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html
3. Arghire, I. (2024, abril 12). Palo Alto Networks Warns of Exploited Firewall Vulnerability. SecurityWeek. Recuperado el 12 de abril de 2024 en: https://www.securityweek.com/palo-alto-networks-warns-of-exploited-firewall-vulnerability/
4. Toulas, B. (2024, abril 12). Palo Alto Networks warns of PAN-OS firewall zero-day used in attacks. BleepingComputer. Recuperado el 12 de abril de 2024 en: https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/
5. NIST NVD. (2024, abril 12). CVE-2024-3400 Detail. NIST. Recuperado el 12 de abril de 2024 en: https://nvd.nist.gov/vuln/detail/CVE-2024-3400
6. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 12 de abril de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios