Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidad critica en Palo Alto Pan-OS

12 Apr 2024

INTRODUCCIÓN

Palo Alto ha publicado una vulnerabilidad crítica, que ya ha sido expotada afectando a la función GlobalProtect del software PAN-OS de Palo Alto Networks. Las correcciones para PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 están en desarrollo y se espera que se publiquen antes del 14 de abril de 2024.

Cloud NGFW, los dispositivos Panorama y Prisma Access no se ven afectados por esta vulnerabilidad. El resto de versiones de PAN-OS tampoco se ven afectadas.

ANÁLISIS

CVE-2024-3400 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad de inyección de comandos en la prestación GlobalProtect del software PAN-OS de Palo Alto Networks para versiones específicas de PAN-OS y configuraciones de prestaciones distintas puede permitir a un atacante no autenticado ejecutar código arbitrario con privilegios root en el firewall.

VERSIONES AFECTADAS

Versión PAN-OS 11.1 anteriores a 11.1.2-h3
Versión PAN-OS 11.0 anteriores a 11.0.4-h1
Versión PAN-OS 10.2 anteriores a 10.2.9-h1

Este problema sólo es aplicable a los firewalls PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 con las configuraciones de gateway de GlobalProtect y telemetría de dispositivos habilitadas.

Puede comprobar si tiene una gateway de GlobalProtect configurada comprobando las entradas en la interfaz web del firewall (Network > GlobalProtect > Gateways) y si tiene la telemetría de dispositivos habilitada comprobando la interfaz web del firewall (Device > Setup > Telemetry).

RECOMENDACIONES

Este problema se solucionará en las versiones de hotfix de PAN-OS 10.2.9-h1 (ETA: By 4/14), PAN-OS 11.0.4-h1 (ETA: By 4/14) y PAN-OS 11.1.2-h3 (ETA: By 4/14), y en todas las versiones posteriores de PAN-OS.

Asimismo, los clientes con una suscripción a Prevención de amenazas pueden bloquear los ataques por esta vulnerabilidad activando el ID de amenaza 95187 (introducido en la versión 8833-8682 del contenido de Aplicaciones y amenazas).

Además de activar el ID de amenaza 95187, los clientes deben asegurarse de que se ha aplicado la protección frente a vulnerabilidades a su interfaz GlobalProtect para evitar la explotación de este problema en su dispositivo. Consulte https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184 para obtener más información.

Si no puede aplicar la mitigación basada en la prevención de amenazas en este momento, aún puede mitigar el impacto de esta vulnerabilidad desactivando temporalmente la telemetría del dispositivo hasta que el dispositivo se actualice a una versión fija de PAN-OS. Una vez actualizado, la telemetría del dispositivo debe volver a habilitarse en el dispositivo.

REFERENCIAS

https://security.paloaltonetworks.com/CVE-2024-3400 
https://nvd.nist.gov/vuln/detail/CVE-2024-3400

Artículos relacionados
Ver todas →
Alertas
Campaña phishing AEAT y Ministerio de Interior
Leer más →
Alertas
Nueva campaña de infección de Emotet
Leer más →
Alertas
Vulnerabilidad crítica en vCenter Server
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día