Palo Alto Networks advierte
que una
vulnerabilidad crítica que afecta su software PAN-OS utilizado en sus
gateway GlobalProtect
y
está siendo explotada activamente.
La vulnerabilidad permite la ejecucción de código remoto con privilegios de
root.
Registrado como
CVE-2024-3400, el problema tiene una puntuación CVSS de 10.
«Una vulnerabilidad de inyección de comandos en la función GlobalProtect en
versiones y funciones específicas de PAN-OS puede permitir que un atacante no
autenticado ejecute código arbitrario con privilegios de root en el
firewall»,
dijo la compañía en un aviso.
La división Unit 42 de la compañía
está rastreando
la actividad bajo el nombre Operación MidnightEclipse, atribuyéndola como el
trabajo de un único actor de amenazas de procedencia desconocida.
La falla afecta a las siguientes versiones de PAN-OS:
- PAN-OS <11.1.2-h3
- PAN-OS <11.0.4-h1
- PAN-OS <10.2.9-h1
«Este problema se aplica sólo a los firewalls PAN-OS 10.2, PAN-OS 11.0 y
PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal
GlobalProtect (o ambos) y la telemetría del dispositivo habilitada»,
aclaró la compañía en su aviso actualizado.
La compañía también dijo que el problema se aplica solo a los firewalls que
tienen las configuraciones tanto para GlobalProtect gateway (Red > GlobalProtect > Gateway) como para la
telemetría del dispositivo (Dispositivo > Configuración > Telemetría)
habilitadas.
Si bien no hay otros detalles técnicos sobre la naturaleza de los ataques,
Palo Alto Networks reconoció que
«es consciente de un número limitado de ataques que aprovechan la
explotación de esta vulnerabilidad».
Mientras tanto, recomienda a los clientes con una suscripción a Prevención de
amenazas que habiliten el ID de amenaza 95187 para protegerse contra esta
amenaza.
El desarrollo se produce cuando los actores de amenazas chinos han dependido
cada vez más de Zero-Days que afectan a Barracuda Networks
Fortinet,
Ivanti, y
VMware
para violar objetivos de interés e implementar puertas traseras encubiertas
para un acceso persistente.
«La habilidad y la velocidad empleadas por el atacante sugieren un actor de
amenazas altamente capaz con un manual claro de a qué acceder para promover
sus objetivos»,
dijo la firma estadounidense de ciberseguridad Volexity.
CISA agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas
(KEV), exigiendo que las agencias federales apliquen los parches antes del 19 de
abril para mitigar amenazas potenciales.
Palo Alto Networks publicó publicará las correcciones el
14 de abril (ya publicadas).
La operación
MidnightEclipse
(UTA0218) implica la explotación de la falla para crear un cron que se
ejecuta cada minuto para recuperar comandos alojados en un servidor externo
(«172.233.228[.]93/policy» o «172.233.228[.]93/patch»), que
luego se ejecutan utilizando bash.
En los ataques documentados hasta la fecha, se ha observado que UTA0218
implementa
cargas útiles adicionales para iniciar shells, filtrar datos de
configuración de PAN-OS, eliminar archivos de registro e implementar la
herramienta de tunelización Golang denominada
GOST
(GO Simple Tunnel).
Las búsquedas en
Shodan,
Fofa
y
Censys
arrojan
miles de dispositivos GlobalProtect en línea
y posiblemente vulnerables.
Los
IOC
se encuentran disponibles en el sitio de Volexity.
Actualización 14/04: este problema
se solucionó
en las versiones de revisión de PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS
11.1.2-h3 y en todas las versiones posteriores de PAN-OS. También estarán
disponibles revisiones para otras versiones de mantenimiento.
Actualización 16/04
La empresa reconoce que las mitigaciones
inicialmente recomendadas, la de deshabilitar la telemetría del dispositivo,
NO es una forma eficaz de prevenir ataques. y se lanza del PoC del ataque.
ShadowServer Foundation informa que está detectando más de 156.000 dispositivos expuestos con esta vulnerabilidad.
Hay rumores sobre que el fallo se debe a un error de Gorilla y su addon Sessions. Gorilla es un toolkit para construir webs en Go con licencia BSD (más de 20 mil repositorios y más de 5.600 paquetes dependientes).
Actualización 25/04 – Guía de remediación
- Nivel 0 – intento de explotación fallido: actualizar a la última revisión proporcionada.
- Nivel 1 – evidencia de vulnerabilidad que se está ejecutando en el dispositivo, incluida la creación de un archivo vacío en el firewall pero sin ejecución de comandos no autorizados. Actualizar a la última revisión proporcionada.
- Filtración de nivel 2 – señales donde archivos como «running_config.xml» se copian a una ubicación a la que se puede acceder a través de solicitudes web: actualizar a la última revisión proporcionada y realizar un restablecimiento de datos privados.
- Acceso interactivo de nivel 3 – evidencia de ejecución de comandos interactivos, como la introducción de puertas traseras y otros códigos maliciosos. Actualizar a la última revisión proporcionada y realizar un restablecimiento de fábrica.
Fuente:
THN