Reportar incidente
Buscar
Cerrar este cuadro de búsqueda.

Parche de Seguridad para vulnerabilidades críticas en equipos Palo Alto

equipos Palo Alto

Palo Alto Networks alertó sobre dos vulnerabilidades críticas en Firewalls Palo Alto PAN-OS: CVE-2024-0012, que permite acceso administrativo sin autenticación, y CVE-2024-9474, que posibilita escalamiento de privilegios a root. Se recomienda actualizar los sistemas de inmediato.

Figura 1. Imagen referente a Palo Alto Networks. Tomado de ​[1]​.   

Palo Alto Networks reveló dos vulnerabilidades críticas en su software PAN-OS [2]: CVE-2024-0012 y CVE-2024-9474. CVE-2024-0012 permite a atacantes remotos sin autenticación obtener privilegios de administrador mediante el acceso a la interfaz web de gestión. Por su parte, CVE-2024-9474 es una vulnerabilidad de escalamiento de privilegios que posibilita a atacantes con acceso administrativo ejecutar comandos con privilegios de root [3]. Estas fallas, que pueden ser combinadas para comprometer dispositivos completamente, están siendo explotadas activamente, y se insta a las organizaciones a actualizar sus sistemas afectados de inmediato.

Detalles de la vulnerabilidad CVE-2024-0012

La vulnerabilidad CVE-2024-0012, con una gravedad crítica (CVSS 9.3), afecta la interfaz web de gestión de dispositivos PAN-OS de Palo Alto Networks. Esta falla permite a atacantes no autenticados omitir las medidas de seguridad y obtener acceso administrativo completo a los sistemas vulnerables sin requerir interacción del usuario, lo que la hace especialmente peligrosa en interfaces expuestas a internet [4].

El problema radica en una debilidad (CWE-306) en el script uiEnvSetup.php [5]. Este script utiliza el encabezado HTTP HTTP_X_PAN_AUTHCHECK para determinar si se redirige al usuario a la página de inicio de sesión. En la configuración predeterminada, este encabezado está establecido como «on». Sin embargo, los atacantes pueden enviar solicitudes HTTP GET maliciosas configurando el encabezado en «off», lo que permite eludir la autenticación y acceder a scripts PHP críticos.

GET /php/ztp_gate.php/.js.map HTTP/1.1

Host:

X-PAN-AUTHCHECK: off

Acerca de la vulnerabilidad CVE-2024-9474

La vulnerabilidad CVE-2024-9474, con una gravedad moderada (CVSS 6.9), permite a administradores malintencionados con acceso previo escalar privilegios hasta nivel root en sistemas PAN-OS afectados [4]. Aunque requiere credenciales administrativas existentes, lo que la hace menos crítica que CVE-2024-0012, sigue siendo un riesgo significativo debido al nivel de control que otorga.

El problema reside en el script createRemoteAppwebSession.php, que permite a los atacantes crear usuarios arbitrarios con roles personalizados. Posteriormente, pueden generar un ID de sesión PHP que actúa como token de autenticación. Usando este token, los atacantes pueden cargar código PHP malicioso y ejecutarlo con privilegios de root en los dispositivos vulnerables [3].

Productos y versiones afectadas

La siguiente tabla contiene una lista de las versiones afectadas y corregidas de PAN-OS [6]:

Tabla 1. Productos y versiones afectadas

ProductoCVE-2024-0012CVE-2024-9474Versión Corregida
PAN-OS 10.1No Afectado10.1.14-h4 y anteriores10.1.14-h6 y posteriores
PAN-OS 10.210.2.12-h1 y anteriores10.2.12-h1 y anteriores10.2.12-h2 y posteriores
PAN-OS 11.011.0.5-h2 y anteriores11.0.5-h2 y anteriores11.0.6-h1 y posteriores
PAN-OS 11.111.1.4-h7 y anteriores11.1.4-h7 y anteriores11.1.5-h1 y posteriores
PAN-OS 11.211.2.3-h3 y anteriores11.2.3-h3 y anteriores11.2.4-h1 y posteriores

Solución

Actualizar a las versiones corregidas elimina las vulnerabilidades identificadas, fortaleciendo la seguridad de los sistemas y reduciendo considerablemente el riesgo de explotación por atacantes.

Recomendaciones

  • Aplicar los parches más recientes para corregir estas fallas.
  • Restringir el acceso a redes internas confiables o utilizar un jump box seguro. Bloquear todo acceso desde internet a las interfaces de gestión para prevenir la explotación no autorizada.
  • Monitorear los Indicadores de Compromiso (IoCs) para supervisar posibles señales de ataques para actuar rápidamente en caso de detección.

Indicadores de Compromiso (IoCs)

Direcciones IP de actores de amenaza escaneando activamente o conectándose a interfaces vulnerables:

  • 91.208.197[.]167
  • 104.28.208[.]123
  • 136.144.17[.]146
  • 136.144.17[.]149
  • 136.144.17[.]154
  • 136.144.17[.]158
  • 136.144.17[.]161
  • 136.144.17[.]164
  • 136.144.17[.]166
  • 136.144.17[.]167
  • 136.144.17[.]170
  • 136.144.17[.]176
  • 136.144.17[.]177
  • 136.144.17[.]178
  • 136.144.17[.]180
  • 173.239.218[.]248
  • 173.239.218[.]251
  • 209.200.246[.]173
  • 209.200.246[.]184
  • 216.73.162[.]69
  • 216.73.162[.]71
  • 216.73.162[.]73
  • 216.73.162[.]74

Payload de post-explotación (Hash SHA256):

  • 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

Cadena de User-Agent:

  • User-Agent:Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv 11.0) like Gecko

Una lista más completa de los Indicadores de Compromiso observados están disponibles en [7].

Referencia:

[1] B. Toulas, «Palo Alto Networks warns of critical RCE zero-day exploited in attacks,» Bleeping Computer, 15 Noviembre 2024. [En línea]. Available: https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-critical-rce-zero-day-exploited-in-attacks/.
[2] Unit, «Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474,» 22 Noviembre 2024. [En línea]. Available: https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/.
[3] H. Can, «Palo Alto CVE-2024-0012 and CVE-2024-9474 Vulnerabilities Explained,» Picus Security, 20 Noviembre 2024. [En línea]. Available: https://www.picussecurity.com/resource/blog/palo-alto-cve-2024-0012-and-cve-2024-9474-vulnerabilities-explained.
[4] SOCRadar, «Exploited PAN-OS Zero-Days Threaten Thousands of Firewalls (CVE-2024-0012 and CVE-2024-9474),» 19 Noviembre 2024. [En línea]. Available: https://socradar.io/exploited-pan-os-zero-days-threaten-firewalls/.
[5] Sonny, «Pots and Pans, AKA an SSLVPN – Palo Alto PAN-OS CVE-2024-0012 and CVE-2024-9474,» watchTowr Labs, 19 Noviembre 2024. [En línea]. Available: https://labs.watchtowr.com/pots-and-pans-aka-an-sslvpn-palo-alto-pan-os-cve-2024-0012-and-cve-2024-9474/.
[6] S. Narang, « CVE-2024-0012, CVE-2024-9474: Zero-Day Vulnerabilities in Palo Alto PAN-OS Exploited In The Wild,» Tenable, 18 Noviembre 2024. [En línea]. Available: https://www.tenable.com/blog/cve-2024-0012-cve-2024-9474-zero-day-vulnerabilities-in-palo-alto-pan-os-exploited-in-the-wild.
[7] Palo Alto Networks , «Unit42-Threat-Intelligence-Article-Information,» GitHub, [En línea]. Available: https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/2024-November-IOC-updates-OperationLunarPeek.txt.
Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

WEBINARS DE METARED
WEBINARS DE CSIRT-CEDIA

HispaSEC

Packet storm security

Síguenos
Twitter
Suscríbete

Recibe nuestro boletín para mantenerte actualizado

Equipo de Respuesta a Incidentes de seguridad de cedia

Twitter
SOC-CSIRT CEDIA
Links de interés
Ver consentimiento de datos personales
ISO IEC 27001 2022

Copyright ©2024 CSIRT. Powered by CEDIA.