Fecha de divulgación: 8 de noviembre (CVE-2024-0012) y 18 de noviembre de 2024 (CVE-2024-9474)
Fecha de adición a CISA KEV: N/A
El 8 de noviembre, Palo Alto Networks publicó un aviso sobre CVE-2024-0012una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a PAN-OS, el sistema operativo subyacente de los cortafuegos y dispositivos VPN de Palo Alto Networks. Se trata de un error de omisión de autenticación que permite a un atacante remoto no autenticado con acceso a la interfaz web de gestión obtener privilegios de administrador.
Hoy, 18 de noviembre, el proveedor ha emitido otro aviso sobre una vulnerabilidad relacionada pero de menor gravedad que también afecta a PAN-OS, CVE-2024-9474un error de escalada de privilegios autenticado que podría permitir a usuarios no autorizados obtener privilegios elevados en determinadas condiciones.
Estas dos vulnerabilidades se pueden encadenar, con CVE-2024-0012 proporcionando acceso administrativo inicial, que luego puede ser aprovechado para explotar CVE-2024-9474 o llevar a cabo otras acciones de post-explotación.
Explotación e IoC
En el momento de escribir estas líneas, ninguna de las dos vulnerabilidades está en CISA KEV, pero Unidad 42 ha observado un conjunto limitado de actividad de explotación relacionada con CVE-2024-0012. Publicaron varios indicadores de compromiso, incluyendo varias direcciones IP de actores de amenazas y la siguiente carga útil PHP webshell que se dejó caer en un cortafuegos comprometido:
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668
La Unidad 42 observó además que, si bien estas IP se identificaron intentando escanear y/o conectarse a interfaces de gestión, muchas de ellas son conocidas por dirigir/encauzar tráfico para servicios VPN anónimos, lo que puede incluir actividad legítima de usuarios originada desde estas IP a otros destinos.
PAN-OS se utiliza ampliamente en sectores como las infraestructuras críticas, los servicios financieros y las agencias gubernamentales, lo que hace que esta vulnerabilidad sea especialmente preocupante para cualquier organización que confíe en los dispositivos de Palo Alto Networks. La explotación exitosa de esta vulnerabilidad podría dar a los atacantes el control total sobre los sistemas afectados, lo que potencialmente les permitiría alterar las configuraciones de red, acceder a datos confidenciales y facilitar nuevos compromisos de red.
Se recomienda a las organizaciones que utilizan PAN-OS versiones 10.2, 11.0, 11.1 y 11.2 en particular que apliquen los parches inmediatamente o restringir el acceso según el aviso del proveedor. Las versiones 10.2 y posteriores de PAN-OS no están afectadas, ni tampoco Cloud NGFW o Prisma Access.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-0012 - CVSS 9.3 (Crítico) asignado por Palo Alto Networks |
CVE-2024-9474 - CVSS 6.9 (Medio) asignado por Palo Alto Networks |
| Descripción de la vulnerabilidad |
Evasión de autenticación en PAN-OS puede permitir la ejecución remota de código sin autenticación. |
Escalada de privilegios en PAN-OS permite a un administrador con acceso a la interfaz web de gestión realizar acciones en el cortafuegos con privilegios de root. |
| Fecha de divulgación |
8 de noviembre de 2024 |
18 de noviembre de 2024 |
| Activos afectados |
Software PAN-OS de Palo Alto Networks (para sus cortafuegos y dispositivos VPN) |
| Versiones de software vulnerables |
PAN-OS 10.2, 11.0, 11.1 y 11.2 |
PAN-OS 10.1, 10.2, 11.0, 11.1 y 11.2 |
| ¿PoC disponible? |
No, en el momento de escribir este artículo |
| Estado de explotación |
Explotación activa. Palo Alto ha observado ataques dirigidos a interfaces de gestión de cortafuegos expuestas a Internet. En su aviso, señalan: "En este momento, creemos que los dispositivos cuyo acceso a la interfaz de gestión no está protegido según nuestras directrices de despliegue de mejores prácticas recomendadas corren un mayor riesgo". |
Esta vulnerabilidad puede explotarse después de utilizar CVE-2024-0012 para obtener privilegios de root, aunque todavía no se ha informado de ninguna actividad de amenaza específica relacionada con este escenario. |
| Estado del parche |
Parches disponibles para las versiones afectadas. Consulte el de Palo Alto Networks para más detalles. |
Parches disponibles para las versiones afectadas. Consulte el de Palo Alto Networks para más detalles. |
Censys Perspectiva
El proveedor señaló que los dispositivos PAN-OS con sus interfaces de gestión configuradas para estar expuestas a la Internet pública corren el mayor riesgo de explotación. Censys ha identificado 13.324 interfaces de gestión NGFW expuestas públicamente. Una gran proporción de ellas (34%) están geolocalizadas en Estados Unidos. Censys observó alrededor del 8% de las instancias expuestas estaban asociadas a Amazon (ASN 16509). Nótese que no todas ellas son necesariamente vulnerables, ya que no se dispone de versiones específicas de dispositivos.
Mapa de interfaces de gestión expuestas:
Se recomienda actualizar los sistemas afectados a PAN-OS 10.2 y limitar la exposición pública a Internet de la interfaz de gestión del cortafuegos. Para identificar todas las interfaces de gestión de Palo Alto expuestas en su red, independientemente de la versión de PAN-OS, se pueden utilizar las siguientes consultas de Censys :
Censys Consulta de búsqueda:
services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and services.http.response.html_title=“Login”
Censys Consulta ASM:
(host.services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and host.services.http.response.html_title="Login") or (web_entity.instances.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and web_entity.instances.http.response.html_title="Login")
Referencias
