Vulnerabilidad Alta en Palo Alto PAN-OS (CVE-2024-8686)
Como es costumbre, Palo Alto publica en su página de avisos de seguridad nuevas vulnerabilidades el segundo martes de cada mes. En esta ocasión, el martes 11 de septiembre de 2024, se publicó una vulnerabilidad que afecta al software PAN-OS. Dicha vulnerabilidad, denominada CVE-2024-8686, con un score CVSS de 8.6, permite que un administrador autenticado pueda sortear las restricciones del sistema y ejecutar comandos arbitrarios como root en un firewall.
Para explotar esta vulnerabilidad no se requiere ninguna acción de un usuario, lo cual la hace peligrosa. Su vector de ataque es a través de la red, lo que no solo permite realizar esta vulnerabilidad, sino también otras, extendiéndose más allá del firewall afectado, incluyendo la totalidad de la red, e incluso el internet. No es un ataque muy complejo de ejecutar, por lo que se espera que la explotación exitosa de la vulnerabilidad sea común.
De ser explotada, el atacante tendría acceso a toda la información del sistema afectado y la integridad del dispositivo se vería completamente comprometida, lo que podría resultar en la indisponibilidad del sistema afectado.
La única desventaja para el atacante es que se requieren credenciales de nivel administrador para llevar a cabo el ataque con éxito, y actualmente no se cuenta con evidencia de que esta vulnerabilidad esté siendo explotada.
Versiones Afectadas
|
Versión |
Es afectada |
No es afectada |
|
Cloud NGFW |
Ninguna |
Todas |
|
PAN-OS 11.2 |
11.2.2 |
>=11.2.3 |
|
PAN-OS 11.2 |
Ninguna |
Todas |
|
PAN-OS 11.2 |
Ninguna |
Todas |
|
PAN-OS 11.2 |
Ninguna |
Todas |
|
PAN-OS 11.2 |
Ninguna |
Todas |
|
Prisma Access |
Ninguna |
Todas |
Recomendaciones
-
Actualizar PAN-OS 11.2.2 a la versión 11.2.3 o superior
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Palo Alto (2024, septiembre 11). CVE-2024-8686 PAN-OS: Command Injection Vulnerability. Recuperado el 11 de septiembre de 2024 en: https://security.paloaltonetworks.com/CVE-2024-8686
