Contacto

Más de 2000 dispositivos de Palo Alto se encuentran comprometidos

Según Shadowserver, una plataforma de monitoreo de amenazas, más de 2000 firewalls de Palo Alto Networks se han visto comprometidos en ataques

Según Shadowserver, una plataforma de monitoreo de amenazas, más de 2000 firewalls de Palo Alto Networks se han visto comprometidos en ataques que explotan dos vulnerabilidades de día cero recientemente parcheadas. Estas fallas apuntan a la interfaz web de administración de PAN-OS y se han utilizado en exploits encadenados, lo que permite a los atacantes obtener privilegios de administrador y ejecutar comandos de nivel raíz en los dispositivos afectados.

Detalles de las vulnerabilidades explotadas
Las vulnerabilidades, identificadas como CVE-2024-0012 y CVE-2024-9474, se revelaron a principios de esta semana y han generado inquietudes significativas dentro de la comunidad de ciberseguridad.

CVE-2024-0012 permite a los atacantes eludir la autenticación, otorgando acceso administrativo.
CVE-2024-9474 facilita la escalada de privilegios, lo que permite que los comandos se ejecuten con acceso de nivel raíz.
Palo Alto Networks alertó inicialmente sobre la posibilidad de ejecución remota de código (RCE) el 8 de noviembre, y la divulgación oficial de estos problemas se produjo la semana pasada.

Observaciones de ataques y cadena de explotación
En una declaración, Palo Alto Networks confirmó que se están llevando a cabo investigaciones sobre estos exploits. Según se informa, los atacantes utilizaron servicios VPN anónimos para atacar un «número limitado de interfaces web de administración». La empresa observó que los actores de amenazas implementaban malware y ejecutaban comandos en dispositivos comprometidos, lo que indica la existencia de una cadena de exploits disponible públicamente.

Aunque Palo Alto Networks afirma que solo un pequeño subconjunto de dispositivos está afectado, Shadowserver ha informado de más de 2700 dispositivos PAN-OS expuestos, y aproximadamente 2000 se han confirmado como comprometidos desde que comenzó la campaña de ataques.

Respuesta del gobierno y la industria
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha añadido estas vulnerabilidades a su Catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige a las agencias federales que apliquen parches a sus sistemas antes del 9 de diciembre. Esto sigue a alertas anteriores sobre otra vulnerabilidad crítica, CVE-2024-5910, en la herramienta de configuración de firewall Expedition de Palo Alto Networks.

Preocupaciones por una explotación más amplia
La división de inteligencia de amenazas Unit 42 de Palo Alto Networks ha expresado una «confianza moderada a alta» en que una cadena de explotación funcional para CVE-2024-0012 y CVE-2024-9474 ya está disponible públicamente. Esto podría dar lugar a una explotación generalizada. La empresa ha instado a los clientes a proteger las interfaces de gestión de sus firewalls restringiendo el acceso a redes internas de confianza.

«El riesgo de estos problemas se reduce en gran medida si se protege el acceso a la interfaz web de gestión restringiendo el acceso solo a direcciones IP internas de confianza de acuerdo con nuestras directrices de implementación recomendadas», afirmó la empresa.

Un año de exploits de alto perfil
Estos últimos exploits se suman a una serie de vulnerabilidades de alta gravedad que afectarán a los productos de Palo Alto Networks en 2024:

Julio de 2024: se corrigió una falla que permitía a los atacantes restablecer las credenciales de administrador en los servidores Expedition expuestos.
A principios de 2024: se abordó una vulnerabilidad de firewall de máxima gravedad, CVE-2024-3400, explotada activamente y que afectaba a más de 82 000 dispositivos en todo el mundo.
Llamado a la acción
Palo Alto Networks ha enfatizado la importancia de aplicar parches y adherirse a las mejores prácticas para minimizar los riesgos. Dado que los actores de amenazas explotan activamente estas vulnerabilidades, es fundamental actuar con rapidez para evitar más ataques.

  • Categoría: Seguridad
Comparte este post
Ver más artículos
Contacta con nosotros

Sigue nuestro blog

Me acaban de estafar 42.000 euros

Así, como suena, tal y como dice la Policia ha sido un ataque casi perfecto (esperemos que lo de casi sea verdad) Os lo voy a explicar por si ayuda o incluso por si alguien puede ayudarme y conoce a alguien que se haya encontrado con este problemón
Leer más

El Centro Criptológico Nacional ayuda a las PTYMES afectadas por la DANA

Instituciones públicas y privadas, y voluntarios del sector informático se han coordinado para ayudar a las pequeñas empresas y comercios afectados por la DANA.
Leer más

Gestión de incidentes

El CCN-CERT, como CERT Gubernamental Nacional colabora con todos los organismos públicos y empresas de interés estratégico para el país.
Leer más

El Gobierno reorganiza la estrategia digital

Este cambio refuerza el posicionamiento de INCIBE como una pieza central en la estrategia del Gobierno para afrontar los crecientes desafíos y oportunidades en el ámbito de la transformación digital.
Leer más

Tu Ayuda en Ciberseguridad

Tu Ayuda en Ciberseguridad es el servicio nacional, gratuito y confidencial que INCIBE pone a disposición de los usuarios de Internet y la tecnología.
Leer más

Las XVIII jornadas STIC CCN-CERT y las VI jornadas de ESPDEF-CERT hacen record

Un nuevo récord de asistencia. Atrayendo a más de siete mil profesionales.
Leer más
Ver más sobre el blog

Contacta con nosotros

No dudes en contactar con nosotros para cualquier consulta. Somos conscientes de que cada cliente necesita unos servicios específicos adaptados a sus necesidades. 

Madrid

te reponderemos cuanto antes

Nuestro objetivo es ofrecer un asesoramiento personalizado a nuestros clientes. Conscientes de que cada cliente necesita unos servicios específicos adaptados a sus necesidades.

© Socyber | All Rights Reserved | Kit Digital

Diseñado y desarrollado con ♡ por Fénix Byte

¡Hablemos!