El BSI advierte: El sistema operativo PAN-OS tiene una vulnerabilidad crítica evidente que fue calificada con un valor CVSS de 10.0 sobre 10. Las empresas deben actuar de inmediato y aplicar los próximos parches o utilizar las soluciones alternativas disponibles.
Según BSI, la Oficina Federal de Seguridad de la Información, el 12 de abril de 2024 la empresa Palo Alto Networks publicó un aviso sobre una vulnerabilidad explotada activamente en PAN-OS, el sistema operativo de los firewalls del fabricante. La vulnerabilidad, identificada como CVE-2024-3400, es una inyección de comando del sistema operativo en la función GlobalProtect Gateway que permite a un atacante remoto no autenticado ejecutar código con privilegios de root en el firewall. La vulnerabilidad fue calificada según el Sistema de Puntuación de Vulnerabilidad Común (CVSS) con el valor más alto 10.0 (“crítico”; CVSS 4.0).
Firewalls y sistemas operativos afectados
La vulnerabilidad CVE-2024-3400 afecta a firewalls con:
- PAN-OS 11.1 con versión <11.1.2-h3
- PAN-OS 11.0 con versión <11.0.4-h1
- PAN-OS 10.2 con versión <10.2.9-h1
con GlobalProtect Gateway configurado y la función de telemetría activada.
Si una de las configuraciones mencionadas no está activada, la explotación no es posible. ¡Las versiones anteriores de PAN-OS (10.1, 10.0, 9.1 y 9.0), la solución en la nube NGFW, Panorama Appliances y Prisma Access no se ven afectadas!
Los parches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) según información del aviso Se espera que se lance el 14 de abril de 2024. Palo Alto Networks dice que ha observado un número limitado de ataques utilizando esta vulnerabilidad.
Medidas rápidas y soluciones
Actualmente no hay parches disponibles. Sin embargo, probablemente deberían estar disponibles a partir del 14 de abril de 2024.
Los operadores deben comprobar rápidamente si se ven afectados por la vulnerabilidad. Para hacer esto, puede verificar en la interfaz web en Red > GlobalProtect > Puertas de enlace si “GlobalProtect Gateway” está configurado y en Dispositivo > Configuración > Telemetría si la función de telemetría está activada. Si este es el caso, se debe utilizar urgentemente una de las soluciones recomendadas por Palo Alto.
Solución 1
Las instituciones deberían desactivar la función de telemetría en los dispositivos afectadoshasta que se actualice la versión de PAN-OS. Después de instalar la actualización, la opción de telemetría debe reactivarse manualmente.
Solución 2
Las instituciones que utilizan el servicio de Prevención de amenazas de Palo Alto pueden bloquear ataques habilitando el ID de amenaza 95187. Además, la protección contra vulnerabilidades debe estar activada en la interfaz GlobalProtect..
¿Ya ha sido atacado el firewall?
Para comprobar si el firewall ya se ha visto comprometido, Palo Alto Networks en el Portal de atención al cliente (CSP).cargar un “archivo de soporte técnico” (TSF) y verificar si se explota la vulnerabilidad.
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.