Palo Alto Networks lanza parches para una falla crítica de seguridad en el software PAN-OS que ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad (CVE-2024-3400) permite la inyección de comandos en la característica GlobalProtect, lo que puede ser aprovechado por un atacante no autenticado para ejecutar código arbitrario con privilegios de root en el firewall. Las soluciones están disponibles en las versiones PAN-OS 10.2.9-h1, 11.0.4-h1 y 11.1.2-h3, y se espera que se lancen parches para otras versiones comúnmente implementadas en los próximos días. Aunque los firewalls Cloud NGFW no se ven afectados, versiones y configuraciones distintas de las MV de firewall implementadas y gestionadas por los clientes en la nube están afectadas.
La compañía afirmó que el problema se aplica solo a los firewalls PAN-OS 10,2, PAN-OS 11,0 y PAN-OS 11,1 configurados con el portal o la puerta de enlace GlobalProtect y la telemetría del dispositivo habilitada. No se sabe exactamente el origen del actor de amenazas que explota la falla que está siendo rastreada por Palo Alto Networks Unit 42 bajo el nombre de Operation MidnightEclipse. Volexity atribuyó la explotación a un grupo denominado UTA0218, que ha estado utilizando CVE-2024-3400 desde al menos el 26 de marzo de 2024, para ofrecer una puerta trasera basada en Python llamada UPSTYLE en el firewall que permite la ejecución de comandos arbitrarios a través de solicitudes especialmente diseñadas.
Aunque no está claro qué tan extendida ha sido la explotación, se ha observado a UTA0218 desplegando cargas adicionales para lanzar shells inversos, exfiltrar datos de configuración de PAN-OS, eliminar archivos de registro y desplegar la herramienta de túneles Golang llamada GOST (GO Simple Tunnel). Volexity tiene «evidencia de actividad de reconocimiento potencial que involucra una explotación más amplia destinada a identificar sistemas vulnerables». No se ha implementado ningún otro tipo de malware o método de persistencia en las redes de las víctimas, aunque se desconoce si es por diseño o debido a detección temprana y respuesta. Es importante actualizar a las soluciones de seguridad disponibles para protegerse contra esta vulnerabilidad crítica.
Vía The Hacker News
