Actualización: Vulnerabilidad en Firewalls Palo Alto. CVE-2024-0012 (Cvss 9.3 Critica)

Publicado hace 1 mes 15-11-2024

Palo Alto ha notificado a sus clientes sobre una nueva vulnerabilidad que afecta a diversos firewalls expuestos a internet.

El pasado 8 de noviembre de 2024, Palo Alto notificó a sus clientes, por medio de un correo electrónico, sobre una vulnerabilidad bajo el nombre de Operación Lunar Peek. Permite a un atacante no autenticado con acceso de red a la interfaz web de administración obtenga privilegios de administrador de PAN-OS para realizar acciones administrativas, alterar la configuración o explotar otras vulnerabilidades de escalada de privilegios. Sin embargo, durante el proceso de observación e investigación, se descubrió que la vulnerabilidad estaba siendo explotada activamente, lo que llevó a reevaluar su puntaje y clasificarla como CVE-2024-0012 con un CVSS 9.3 el 14 de noviembre.

CVE-2024-0012 solo se aplica al software PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 y PAN-OS 11.2. Cloud NGFW y Prisma Access no se ven afectados por esta vulnerabilidad. La recomendación por parte de Palo Alto es seguir las "best practices" de administración de interfaces propuestas por ellos mismos. Es posible identificar si un sistema es vulnerable accediendo al portal de servicio al cliente y dirigiéndose a Products > Assets > All Assets > Remediation required. Los productos escaneados por Palo Alto que sean vulnerables estarán marcados con el tag PAN-SA-2024-0015. Si no se encuentra este tag en ningún dispositivo, entonces no se es vulnerable.

Indicadores de Compromiso:
 

IOC Tipo
91.208.197[.]167 IP
136.144.17[.]146 IP
136.144.17[.]149 IP
136.144.17[.]154 IP
136.144.17[.]161 IP
136.144.17[.]164 IP
136.144.17[.]166 IP
136.144.17[.]167 IP
136.144.17[.]170 IP
136.144.17[.]176 IP
136.144.17[.]177 IP
136.144.17[.]178 IP
136.144.17[.]180 IP
173.239.218[.]251 IP
209.200.246[.]173 IP
209.200.246[.]184 IP
216.73.162[.]69 IP
216.73.162[.]71 IP
216.73.162[.]73 IP
216.73.162[.]74 IP
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668 SHA256

Versiones Afectadas

Versions Affected Unaffected
Cloud NGFW None All
PAN-OS 11.2 < 11.2.4-h1 >= 11.2.4-h1
PAN-OS 11.1 < 11.1.5-h1 >= 11.1.5-h1
PAN-OS 11.0 < 11.0.6-h1 >= 11.0.6-h1
PAN-OS 10.2 < 10.2.12-h2 >= 10.2.12-h2
PAN-OS 10.1 None All
Prisma Access None All

Recomendaciones

  • Seguir las “Best practices” para la administración de interfazes proporcionada por palo alto en: https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.
Además, si tiene una suscripción a Prevención de amenazas, puede bloquear estos ataques utilizando los identificadores de amenazas 95746, 95747, 95752, 95753, 95759 y 95763 (disponibles en la versión de contenido de Aplicaciones y amenazas 8915-9075 y posteriores). Para que estos identificadores de amenazas le protejan contra ataques a esta vulnerabilidad,

Referencias

  1. PALO ALTO NETWORKS. (2024. Noviembre 8) PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured. Recuperado el 15 de noviembre del 2024 en: https://security.paloaltonetworks.com/PAN-SA-2024-0015
  2. Palo Alto Networks. (2024, noviembre 12). *CVE-2024-0012 & CVE-2024-9474*. Unit 42. https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más