Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades explotadas en dispositivos Palo Alto

18 Nov 2024

INTRODUCCIÓN

Palo Alto Networks ha revelado recientemente múltiples vulnerabilidades críticas en sus sistemas, algunas de las cuales están siendo explotadas activamente. Estas vulnerabilidades, que afectan a la interfaz de gestión PAN-OS y a la herramienta de migración Expedition, suponen un grave riesgo al permitir a atacantes remotos obtener acceso no autorizado, ejecutar comandos arbitrarios y exponer información sensible.

ANÁLISIS

CVE-2024-9463 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

Una vulnerabilidad de inyección de comandos del sistema operativo en Palo Alto Networks Expedition permite a un atacante no autenticado ejecutar comandos arbitrarios del sistema operativo como root en Expedition, lo que resulta en la divulgación de nombres de usuario, contraseñas de texto plano, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS.

CVE-2024-9465 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N - 9.1:

Una vulnerabilidad de inyección SQL en Expedition de Palo Alto Networks permite a un atacante no autenticado revelar el contenido de la base de datos de Expedition, como hashes de contraseñas, nombres de usuario, configuraciones de dispositivos y claves API de dispositivos. Con esto, los atacantes también pueden crear y leer archivos arbitrarios en el sistema Expedition.

PAN-SA-2024-0015 CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N - 7.5:

PAN-SA-2024-0015 es un aviso de seguridad crítico publicado por Palo Alto Networks en relación con una vulnerabilidad de ejecución remota de código (RCE) en la interfaz de gestión PAN-OS de sus cortafuegos. El fallo, explotado activamente en ataques, permite a atacantes no autenticados ejecutar comandos arbitrarios en interfaces expuestas.

VERSIONES AFECTADAS

PAN-SA-2024-0015: Dispositivos etiquetados con PAN-SA-2024-0015 en la lista Remediación requerida de la sección Activos del Portal de asistencia al cliente (Productos → Activos → Todos los activos → Remediación requerida). Estos dispositivos son los que Palo Alto ha encontrado con una interfaz de gestión orientada a Internet.

CVE-2024-9463 & CVE-2024-9465: Versiones de la herramienta Expedition < 1.2.96

RECOMENDACIONES

PAN-SA-2024-0015:

  • Restrinja el acceso a la interfaz de gestión a las IP internas de confianza.

  • Bloquee el acceso externo y coloque la interfaz detrás de una VPN o red segura.

  • Supervise la actividad anómala dirigida a la interfaz.

Indicadores de compromiso:

  • 136.144.17[.]*

  • 173.239.218[.]251

  • 216.73.162[.]*

Nota: estas direcciones IP pueden representar VPN de terceros con actividad legítima de usuarios originada desde estas IP hacia otros destinos.

Webshell checksum: 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

CVE-2024-9463 & CVE-2024-9465:

Actualice la herramienta Expedition a la versión 1.2.96 o superior.

REFERENCIAS

https://security.paloaltonetworks.com/PAN-SA-2024-0015

https://security.paloaltonetworks.com/PAN-SA-2024-0010

https://nvd.nist.gov/vuln/detail/CVE-2024-9463 
https://nvd.nist.gov/vuln/detail/CVE-2024-9465 

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad potencialmente crítica en Microsoft Exchange
Leer más →
Alertas
Vulnerabilidad de Inyección SQL en productos Joomla
Leer más →
Alertas
Nueva PoC de la Vulnerabilidad RCE en el Intercambio de Claves de Windows
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día