Skip to main content

Filtraciones de datos en productos Palo Alto GlobalProtect: requieren acción inmediata

mayo 28, 2024


Los productos Palo Alto también son populares en Finlandia y varios cientos de dispositivos de red son vulnerables a la vulnerabilidad Así se anunció el 12 de abril. Los intentos de explotación de la vulnerabilidad continuarán e incluso aumentarán en los próximos días. Los códigos de ejemplo relacionados con la vulnerabilidad se comparten en Internet y, por lo tanto, están disponibles para los atacantes.

Palo Alto GlobalProtect Gateway y GlobalProtect Portal que se utiliza para administrar el Gateway son productos que las organizaciones utilizan, por ejemplo, para soluciones seguras de trabajo remoto VPN. Las vulnerabilidades críticas en estos productos pueden ofrecer un fácil acceso a un atacante porque productos como estos están destinados a permitir el acceso a la red de una organización.

Las organizaciones que utilizan estos productos deben reaccionar ante las vulnerabilidades críticas y sus acciones correctivas incluso más rápido que antes. La explotación de vulnerabilidades en el caso de Palo Alto comenzó incluso antes de que se anunciaran las acciones correctivas o se publicaran las actualizaciones. Ya han comenzado intentos de explotación en todo el mundo y también se han observado violaciones iniciales de datos en Finlandia.

Cambios significativos en la información inicial.

NCSC-FI publicado un informe de vulnerabilidad de la vulnerabilidad crítica CVE-2024-3400 de Palo Alto el 12 de abril de 2024. La vulnerabilidad se aplicó inicialmente solo al producto GlobalProtect Gateway, que se usa ampliamente en Finlandia, así como para soluciones VPN en organizaciones. Esta semana también se informó que el producto GlobalProtect Portal era vulnerable.

Inicialmente Palo Alto informó que un pequeño cambio de configuración mitigaría la explotación de la vulnerabilidad. Esto ya no es cierto y también se han observado varios ataques exitosos en Finlandia. La evaluación de los efectos y alcance de los ataques ha comenzado en las organizaciones. Las organizaciones deben actualizar los dispositivos Palo Alto vulnerables a las últimas versiones de inmediato y se recomienda encarecidamente investigar los dispositivos en busca de posibles violaciones de datos. Por ejemplo, el registro del dispositivo y los archivos agregados al dispositivo pueden indicar si el dispositivo ha sido vulnerado.

Informar observaciones

Si nota que sus dispositivos han sido explotados, es importante que tome medidas de inmediato. Asegúrese de que la información del dispositivo no se elimine y que el dispositivo no se reinstale. Puede desconectar el dispositivo de Internet, pero no lo apague. Es posible obtener información más detallada del boletín del fabricante para la investigación técnica de la vulnerabilidad.

Envíenos informes de explotación de vulnerabilidades si hay algún hallazgo en su organización. Puede informar sus hallazgos con el formulario en nuestro sitio web o enviando un correo electrónico a cert@traficom.fi .

Organizaciones finlandesas que utilizan productos Palo Alto GlobalProtect. La vulnerabilidad no se aplica a los usuarios finales ni a los ciudadanos comunes.

Los firewalls NGFW en un servicio en la nube no son vulnerables, pero la vulnerabilidad se aplica a otras instancias implementadas y administradas en un servicio en la nube.

Se puede detectar una filtración de datos exitosa monitoreando el tráfico de red del dispositivo y buscando signos de indicadores conocidos de compromiso (IoC), así como verificando los registros en busca de entradas sospechosas.

en su aviso (Enlace externo) Palo Alto habla de indicadores que señalan de los intentos de explotación. Entradas de registro donde está el mensaje no se pudo desmantelar la sesión y que contienen algo distinto a la cadena GUID (por ejemplo, ‘01234567-89ab-cdef-1234-567890abcdef’) indican intentos de explotación. Si ha detectado intentos de explotación, le recomendamos que asuma que la vulnerabilidad se ha explotado con éxito y el dispositivo ha quedado comprometido, aunque es posible verificar el éxito del exploit con más detalle caso por caso.

Los clientes pueden abrir un caso en el portal de atención al cliente (CSP) de Palo Alto y cargar un archivo de soporte técnico (TSF) en el portal para verificar si hay signos de indicadores de compromiso (IoC) en los registros del dispositivo.



Source link

Translate »