Actualización: Vulnerabilidad en Firewalls Palo Alto. CVE-2024-0012 (Cvss 9.3 Critica)

Publicado hace 5 meses 15-11-2024

Palo Alto ha notificado a sus clientes sobre una nueva vulnerabilidad que afecta a diversos firewalls expuestos a internet.

El pasado 8 de noviembre de 2024, Palo Alto notificó a sus clientes, por medio de un correo electrónico, sobre una vulnerabilidad bajo el nombre de Operación Lunar Peek. Permite a un atacante no autenticado con acceso de red a la interfaz web de administración obtenga privilegios de administrador de PAN-OS para realizar acciones administrativas, alterar la configuración o explotar otras vulnerabilidades de escalada de privilegios. Sin embargo, durante el proceso de observación e investigación, se descubrió que la vulnerabilidad estaba siendo explotada activamente, lo que llevó a reevaluar su puntaje y clasificarla como CVE-2024-0012 con un CVSS 9.3 el 14 de noviembre.

CVE-2024-0012 solo se aplica al software PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 y PAN-OS 11.2. Cloud NGFW y Prisma Access no se ven afectados por esta vulnerabilidad. La recomendación por parte de Palo Alto es seguir las "best practices" de administración de interfaces propuestas por ellos mismos. Es posible identificar si un sistema es vulnerable accediendo al portal de servicio al cliente y dirigiéndose a Products > Assets > All Assets > Remediation required. Los productos escaneados por Palo Alto que sean vulnerables estarán marcados con el tag PAN-SA-2024-0015. Si no se encuentra este tag en ningún dispositivo, entonces no se es vulnerable.

Indicadores de Compromiso:
 

IOC Tipo
91.208.197[.]167 IP
136.144.17[.]146 IP
136.144.17[.]149 IP
136.144.17[.]154 IP
136.144.17[.]161 IP
136.144.17[.]164 IP
136.144.17[.]166 IP
136.144.17[.]167 IP
136.144.17[.]170 IP
136.144.17[.]176 IP
136.144.17[.]177 IP
136.144.17[.]178 IP
136.144.17[.]180 IP
173.239.218[.]251 IP
209.200.246[.]173 IP
209.200.246[.]184 IP
216.73.162[.]69 IP
216.73.162[.]71 IP
216.73.162[.]73 IP
216.73.162[.]74 IP
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668 SHA256

Versiones Afectadas

Versions Affected Unaffected
Cloud NGFW None All
PAN-OS 11.2 < 11.2.4-h1 >= 11.2.4-h1
PAN-OS 11.1 < 11.1.5-h1 >= 11.1.5-h1
PAN-OS 11.0 < 11.0.6-h1 >= 11.0.6-h1
PAN-OS 10.2 < 10.2.12-h2 >= 10.2.12-h2
PAN-OS 10.1 None All
Prisma Access None All

Recomendaciones

  • Seguir las “Best practices” para la administración de interfazes proporcionada por palo alto en: https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.
Además, si tiene una suscripción a Prevención de amenazas, puede bloquear estos ataques utilizando los identificadores de amenazas 95746, 95747, 95752, 95753, 95759 y 95763 (disponibles en la versión de contenido de Aplicaciones y amenazas 8915-9075 y posteriores). Para que estos identificadores de amenazas le protejan contra ataques a esta vulnerabilidad,

Referencias

  1. PALO ALTO NETWORKS. (2024. Noviembre 8) PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured. Recuperado el 15 de noviembre del 2024 en: https://security.paloaltonetworks.com/PAN-SA-2024-0015
  2. Palo Alto Networks. (2024, noviembre 12). *CVE-2024-0012 & CVE-2024-9474*. Unit 42. https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 20 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 20 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más