Más de 2000 firewalls de Palo Alto Networks se vieron comprometidos en un ataque generalizado que aprovechó una vulnerabilidad recientemente reparada.
Este ataque, que comenzó a mediados de noviembre de 2024, encendió las alarmas en toda la comunidad de ciberseguridad y destacó la importancia de aplicar parches rápidos y prácticas de configuración segura.
Los atacantes explotaron dos vulnerabilidades importantes en el software PAN-OS de Palo Alto Networks.
CVE-2024-0012: Fallo crítico de omisión de autenticación con una clasificación de gravedad de 9,3 sobre 10,0. CVE-2024-9474: Vulnerabilidad de escalada de privilegios media con una calificación de 6,9 sobre 10,0.
Estas vulnerabilidades podrían encadenarse para permitir que un atacante no autenticado obtenga acceso raíz a un dispositivo afectado y comprometa toda la red.
Descargue hoy el estudio TEI de Forrester y regístrese para recibir orientación para maximizar el retorno de su inversión en ciberseguridad.
La campaña de ataque, denominada “Operación Lunar Peek” por el equipo de investigación de la Unidad 42 de Palo Alto Networks, ha estado en curso desde principios de noviembre. Se ha observado que los actores de amenazas lanzan malware y ejecutan comandos en firewalls comprometidos, lo que indica que es probable que haya disponible una cadena de explotación pública.
Shadowserver, una plataforma de monitoreo de amenazas, informó que ha rastreado más de 2.700 dispositivos PAN-OS vulnerables, de los cuales se ha confirmado que aproximadamente 2.000 están comprometidos.
Sin embargo, Palo Alto Networks sugiere que la cantidad real de dispositivos afectados puede ser menor, ya que solo el 0,5 por ciento de los firewalls implementados tienen interfaces de administración expuestas a Internet, lo que indica que es menor.
Esta vulnerabilidad afecta a varios productos de Palo Alto Networks que ejecutan PAN-OS, incluidos:
Dispositivo Firewall Panorama de próxima generación (administración de firewall) Dispositivo WildFire (sistema Sandbox para análisis de archivos)
Palo Alto Networks recomienda encarecidamente a los clientes que publiquen un parche para esta vulnerabilidad y protejan sus interfaces de administración de firewall restringiendo el acceso a direcciones IP internas confiables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó ambas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas y requiere que las agencias federales parcheen sus firewalls antes del 9 de diciembre de 2024.
Este incidente destacó la naturaleza crítica de los dispositivos de seguridad de la red y el potencial de consecuencias de gran alcance si dichos dispositivos se ven comprometidos. También destaca el desafío continuo de proteger las interfaces de gestión expuestas a Internet, que siguen siendo un objetivo atractivo para los ciberdelincuentes.
A medida que la situación evoluciona, los expertos en ciberseguridad instan a las organizaciones a permanecer alerta, implementar las medidas de seguridad recomendadas y garantizar que los dispositivos de Palo Alto Networks se actualicen rápidamente a las últimas versiones parcheadas.
¿Es miembro del equipo SOC/DFIR? Analice el malware y el phishing con ANY.RUN -> Pruébelo gratis.
