Actualización: Vulnerabilidad en Firewalls Palo Alto. CVE-2024-0012 (Cvss 9.3 Critica)

Publicado hace 3 meses 15-11-2024

Palo Alto ha notificado a sus clientes sobre una nueva vulnerabilidad que afecta a diversos firewalls expuestos a internet.

El pasado 8 de noviembre de 2024, Palo Alto notificó a sus clientes, por medio de un correo electrónico, sobre una vulnerabilidad bajo el nombre de Operación Lunar Peek. Permite a un atacante no autenticado con acceso de red a la interfaz web de administración obtenga privilegios de administrador de PAN-OS para realizar acciones administrativas, alterar la configuración o explotar otras vulnerabilidades de escalada de privilegios. Sin embargo, durante el proceso de observación e investigación, se descubrió que la vulnerabilidad estaba siendo explotada activamente, lo que llevó a reevaluar su puntaje y clasificarla como CVE-2024-0012 con un CVSS 9.3 el 14 de noviembre.

CVE-2024-0012 solo se aplica al software PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 y PAN-OS 11.2. Cloud NGFW y Prisma Access no se ven afectados por esta vulnerabilidad. La recomendación por parte de Palo Alto es seguir las "best practices" de administración de interfaces propuestas por ellos mismos. Es posible identificar si un sistema es vulnerable accediendo al portal de servicio al cliente y dirigiéndose a Products > Assets > All Assets > Remediation required. Los productos escaneados por Palo Alto que sean vulnerables estarán marcados con el tag PAN-SA-2024-0015. Si no se encuentra este tag en ningún dispositivo, entonces no se es vulnerable.

Indicadores de Compromiso:
 

IOC Tipo
91.208.197[.]167 IP
136.144.17[.]146 IP
136.144.17[.]149 IP
136.144.17[.]154 IP
136.144.17[.]161 IP
136.144.17[.]164 IP
136.144.17[.]166 IP
136.144.17[.]167 IP
136.144.17[.]170 IP
136.144.17[.]176 IP
136.144.17[.]177 IP
136.144.17[.]178 IP
136.144.17[.]180 IP
173.239.218[.]251 IP
209.200.246[.]173 IP
209.200.246[.]184 IP
216.73.162[.]69 IP
216.73.162[.]71 IP
216.73.162[.]73 IP
216.73.162[.]74 IP
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668 SHA256

Versiones Afectadas

Versions Affected Unaffected
Cloud NGFW None All
PAN-OS 11.2 < 11.2.4-h1 >= 11.2.4-h1
PAN-OS 11.1 < 11.1.5-h1 >= 11.1.5-h1
PAN-OS 11.0 < 11.0.6-h1 >= 11.0.6-h1
PAN-OS 10.2 < 10.2.12-h2 >= 10.2.12-h2
PAN-OS 10.1 None All
Prisma Access None All

Recomendaciones

  • Seguir las “Best practices” para la administración de interfazes proporcionada por palo alto en: https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.
Además, si tiene una suscripción a Prevención de amenazas, puede bloquear estos ataques utilizando los identificadores de amenazas 95746, 95747, 95752, 95753, 95759 y 95763 (disponibles en la versión de contenido de Aplicaciones y amenazas 8915-9075 y posteriores). Para que estos identificadores de amenazas le protejan contra ataques a esta vulnerabilidad,

Referencias

  1. PALO ALTO NETWORKS. (2024. Noviembre 8) PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured. Recuperado el 15 de noviembre del 2024 en: https://security.paloaltonetworks.com/PAN-SA-2024-0015
  2. Palo Alto Networks. (2024, noviembre 12). *CVE-2024-0012 & CVE-2024-9474*. Unit 42. https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Actualización de Cortex XDR Agent 8.5.2
Publicado hace 3 días 18-02-2025

Una nueva versión de los agentes de Cortex ha sido calendarizada para su salida al público el día 3 de marzo de 2025. Se trata de una actualización de versión menor, en específico, la versión 8.5.2. En este tipo de actualizaciones......

Vulnerabilidades de Buffer Overflow
Publicado hace 5 días 17-02-2025

 Secure by design es una práctica que se establece para que productos y software sean diseñados para ser seguros. Cada proyecto establece sus vulnerabilidades al principio del diseño de software y son corregidas o reforzadas para cumplir con esta pr&aacu......

Vulnerabilidad alta en interfaz de administración de Palo Alto (CVE-2025-0108)
Publicado hace 1 semana 14-02-2025

Palo Alto, al igual que otras compañías, establece un día específico para publicar avisos de seguridad sobre sus vulnerabilidades del mes. En el caso de Palo Alto, esto ocurre el segundo miércoles de cada mes, donde se publican vulnerabilidades......

BOLETINES RECIENTES

...
Actualización de Cortex XDR Agent 8.5.2
Publicado hace 3 días 18-02-2025
Leer más
...
Vulnerabilidades de Buffer Overflow
Publicado hace 5 días 17-02-2025
Leer más
...
Vulnerabilidad alta en interfaz de administración de Palo Alto (CVE-2025-0108)
Publicado hace 1 semana 14-02-2025
Leer más