Actualización 15 de abril de 2024:
Impacto global (a 15 de abril de 2024)
*Nota*: el siguiente recuento de activos se basa en la identificación de los productos GlobalProtect de Palo Alto Networks en general y no tiene en cuenta los números de versión específicos afectados especificados en la vulnerabilidad. Consulte a continuación la metodología de identificación.
- Más de 143.000 dispositivos GlobalProtect de cara al público en todo el mundo
Principales países afectados:
1. EE.UU.
2. Alemania
3. India
4. REINO UNIDO
5. Australia
Resumen
Censys es consciente de que el 12 de abril de 2024, Palo Alto Networks (PAN) publicó CVE-2024-3400 en relación con una vulnerabilidad de inyección de comandos en la función GlobalProtect de su software PAN-OS. PAN declaró que son "conscientes de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad" y CISA la ha añadido a su base de datos de vulnerabilidades explotadas conocidas (KEV).
Descripción del activo
GlobalProtect es una herramienta de acceso remoto que el proveedor ha descrito como VPN y cortafuegos.
PAN-OS es la denominación del sistema operativo de Palo Alto Network que se despliega en sus productos.
Impacto
Consecuencias potenciales de una explotación exitosa
Según PAN, la vulnerabilidad "puede permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el cortafuegos". Este nivel de compromiso permitiría esencialmente a un atacante hacerse con el control total de los activos de una víctima. Esto podría resultar especialmente devastador para una organización, ya que GlobalProtect se utiliza como una herramienta de acceso remoto seguro, lo que significa que un atacante exitoso podría ser capaz de cerrar/desactivar el acceso a usuarios validados y/o conceder acceso o puertas traseras a hosts nefastos asociados.
Además, los productos PAN suelen ser herramientas de nivel empresarial; aunque depende en gran medida de la implementación y segmentación de red del propietario, un compromiso efectivo podría proporcionar a un atacante capacidades de movimiento lateral.
Dado que este nivel crítico de vulnerabilidad también se está explotando actualmente en la naturaleza, Censys recomienda a los clientes con productos dependientes de PAN-OS como GlobalProtect, dar máxima prioridad a la remediación de estos activos.
Activos afectados
Según PAN, este problema afecta únicamente a los activos que utilizan PAN-OS 10.2 (antes de 0.2.9-h1), PAN-OS 11.0 (antes de 11.0.4-h1) y PAN-OS 11.1 (antes de 11.1.2-h3).
CensysElequipo de respuesta rápida pudo identificar los dispositivos GlobalProtect de Palo Alto Networks. Debido a la naturaleza del producto, la información específica de la versión no estaba disponible y aquellos que puedan estar afectados tendrán que verificar la información de la versión después de localizar los activos GlobalProtect utilizando las consultas proporcionadas Censys .
Censys Consulta ASM para activos expuestos.
Esta consulta identificará los activos de PAN GlobalProtect expuestos a la Internet pública. Para determinar las versiones específicas que pueden corresponderse con las versiones afectadas por la vulnerabilidad mencionada anteriormente, será necesario que los propietarios investiguen sus activos, una vez identificados.
Censys Consulta de búsqueda
services.software: (proveedor: "Palo Alto Networks" y producto: "GlobalProtect")
Esta consulta identificará los activos de PAN GlobalProtect expuestos a la Internet pública. Para determinar las versiones específicas que pueden corresponderse con las versiones afectadas por la vulnerabilidad indicada anteriormente, será necesario que los propietarios investiguen sus activos, una vez identificados.
Recomendaciones
de Palo Alto Networks afirman que las correcciones para las versiones afectadas "están en desarrollo y se espera que se publiquen antes del 14 de abril de 2024". Actualización del 15 de abril de 2024: ya están disponibles las revisiones 10.2.9-h1, 11.0.4-h1 y 11.1.2-h3. Las correcciones para versiones más recientes están en curso. Las opciones de corrección específicas y propias están disponibles aquí, en "Workarounds and Mitigations". Aunque PAN no lo dice explícitamente, Censys recomienda aplicar dichas correcciones en cuanto se publiquen.
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
