Palo Alto Networks ha publicado nuevos indicadores de compromiso (IoC) un día después de que el proveedor de seguridad de red confirmara que una nueva vulnerabilidad de día cero que afecta a su interfaz de administración de firewall PAN-OS ha sido explotada activamente en la naturaleza.
Para ello, la empresa dicho observó actividad maliciosa originada en las siguientes direcciones IP y dirigida a direcciones IP de la interfaz web de administración de PAN-OS a las que se puede acceder a través de Internet.
- 136.144.17[.]*
- 173.239.218[.]251
- 216.73.162[.]*
La compañía, sin embargo, advirtió que estas direcciones IP posiblemente representen “VPN de terceros con actividad legítima de usuario originada desde estas IP hacia otros destinos”.
El aviso actualizado de Palo Alto Networks indica que la falla se está explotando para implementar un shell web en dispositivos comprometidos, lo que permite a los actores de amenazas obtener acceso remoto persistente.
La vulnerabilidad, a la que aún no se le ha asignado un identificador CVE, tiene una puntuación CVSS de 9,3, lo que indica una gravedad crítica. Permite la ejecución remota de comandos no autenticados.
Según la empresa, la vulnerabilidad no requiere interacción del usuario ni privilegios para explotarla, y la complejidad del ataque se ha considerado “baja”.
Dicho esto, la gravedad de la falla cae a alta (puntuación CVSS: 7,5) si el acceso a la interfaz de administración se restringe a un grupo limitado de direcciones IP, en cuyo caso el actor de la amenaza tendrá que obtener acceso privilegiado a esas IP primero.
El 8 de noviembre de 2024, Palo Alto Networks comenzó a recomendar a los clientes que protegieran sus interfaces de administración de firewall en medio de informes de una falla en la ejecución remota de código (RCE). Desde entonces se ha confirmado que se ha abusado de la misteriosa vulnerabilidad en un “número limitado” de instancias.
Actualmente no hay detalles sobre cómo salió a la luz la vulnerabilidad, los actores de amenazas detrás de la explotación y los objetivos de estos ataques. Los productos Prisma Access y Cloud NGFW no se ven afectados por la falla.
Aún no se han publicado parches para la vulnerabilidad, por lo que es imperativo que los usuarios tomen medidas inmediatas para asegurar el acceso a la interfaz de administración, si es que no lo han hecho ya.
El aviso se produce cuando tres fallas críticas diferentes en Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 y CVE-2024-9465) han sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). ). En esta etapa, no hay evidencia que sugiera que las actividades estén relacionadas.
(Esta es una historia en desarrollo. Vuelva a consultar para obtener más actualizaciones).