Palo Alto Networks ha lanzado actualizaciones de seguridad para abordar Cinco fallos de seguridad afectando a sus productos, incluido un error crítico que podría provocar una omisión de la autenticación.
Catalogada como CVE-2024-5910 (puntuación CVSS: 9,3), la vulnerabilidad ha sido descrita como un caso de falta de autenticación en su herramienta de migración Expedition que podría llevar a una toma de control de la cuenta de administrador.
«La falta de autenticación para una función crítica en Palo Alto Networks Expedition puede provocar que los atacantes con acceso a la red de Expedition se apropien de la cuenta de administrador de Expedition», dijo la empresa. dicho En un aviso: «Los secretos de configuración, las credenciales y otros datos importados a Expedition están en riesgo debido a este problema».
La falla afecta a todas las versiones de Expedition anteriores a la versión 1.2.92, que soluciona el problema. Se le atribuye a Brian Hysell, del Centro de Investigación de Ciberseguridad de Synopsys (CyRC), el descubrimiento y la denuncia del problema.
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada, se recomienda a los usuarios que actualicen a la última versión para protegerse contra posibles amenazas.
Como solución alternativa, Palo Alto Networks recomienda que el acceso a la red Expedition esté restringido a usuarios, hosts o redes autorizados.
La empresa estadounidense de ciberseguridad también ha corregido una falla recientemente descubierta en el protocolo RADIUS llamada BlastRADIUS (CVE-2024-3596) que podría permitir a un actor malintencionado con capacidades para realizar un ataque de adversario en el medio (AitM) entre el firewall PAN-OS de Palo Alto Networks y un servidor RADIUS para eludir la autenticación.
La vulnerabilidad permite entonces al atacante «escalar privilegios a ‘superusuario’ cuando se utiliza la autenticación RADIUS y CHAP o PAP está seleccionado en el perfil del servidor RADIUS», dicho.
Los siguientes productos se ven afectados por las deficiencias:
- PAN-OS 11.1 (versiones = 11.1.3)
- PAN-OS 11.0 (versiones = 11.0.4-h4)
- PAN-OS 10.2 (versiones = 10.2.10)
- PAN-OS 10.1 (versiones = 10.1.14)
- PAN-OS 9.1 (versiones = 9.1.19)
- Prisma Access (todas las versiones, se espera que la corrección se publique el 30 de julio)
También se señaló que no se deben utilizar CHAP ni PAP a menos que estén encapsulados por un túnel cifrado, ya que los protocolos de autenticación no ofrecen seguridad de la capa de transporte (TLS). No son vulnerables en los casos en que se utilizan junto con un túnel TLS.
Sin embargo, vale la pena señalar que los firewalls PAN-OS configurados para usar EAP-TTLS con PAP como protocolo de autenticación para un servidor RADIUS tampoco son susceptibles al ataque.