Los expertos advierten sobre la explotación del firewall de Palo Alto después de detectar 2.000 compromisos
Miles de firewalls de Palo Alto Networks se han visto comprometidos después de que se revelaran dos nuevas vulnerabilidades a principios de este mes.
Investigadores de la Fundación Shadowserver, con sede en el Reino Unido dicho El jueves encontraron alrededor de 2.000 firewalls de Palo Alto Networks violados en todo el mundo, con cientos de afectados en los EE. UU. y la India.
Los piratas informáticos explotaron CVE-2024-0012 y CVE-2024-9474, dos vulnerabilidades reveladas recientemente. Durante casi dos semanas, los expertos han dado la alarma sobre posibles ataques después de que Palo Alto Networks publicara un aviso sobre los problemas, que afectan las interfaces de administración de los firewalls de próxima generación (NGFW) de la compañía y pueden permitir que un intruso se apodere de los sistemas.
Desde entonces, el propio equipo de seguridad de Palo Alto, Unidad42e investigadores de lobo ártico han confirmado que los piratas informáticos comprometieron los sistemas utilizando las dos vulnerabilidades. Palo Alto Networks tiene liberado corrigió ambas vulnerabilidades a principios de esta semana e instó a los clientes a restringir el acceso a los dispositivos. La compañía dijo que un exploit funcional que encadena CVE-2024-0012 y CVE-2024-9474 está disponible públicamente.
Arctic Wolf dijo el viernes que en múltiples intrusiones que ha observado, los piratas informáticos intentaron exfiltrar datos confidenciales de los dispositivos de firewall, incluidos archivos de configuración que incluyen credenciales que permiten un acceso más profundo a las redes.
Según Arctic Wolf, se hicieron algunos intentos de robar contraseñas del sistema operativo y otros archivos.
Palo Alto Networks dijo que todavía está investigando los ataques en curso que encadenan las dos vulnerabilidades. En algunos casos, los piratas informáticos han introducido malware en los sistemas afectados.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ordenado todas las agencias civiles federales para corregir las vulnerabilidades antes del 9 de diciembre y confirmó que ha visto evidencia de que ambas han sido explotadas.
Elad Luz, jefe de investigación de Oasis Security, dijo que los clientes de Palo Alto deben restringir inmediatamente el acceso a los dispositivos y solo permitir el acceso a direcciones IP internas.
“Las cifras reportadas por Shadowserver son muy preocupantes, ya que indican que el 7% de los clientes se vieron comprometidos. Con una proporción tan alta, es esencial no sólo aplicar parches, sino también garantizar que el dispositivo esté libre de cualquier posible malware que se haya caído o configuraciones maliciosas que se hayan aplicado”, dijo Luz.
“Recomendamos encarecidamente que los usuarios revisen la configuración de su firewall después de aplicar el parche para asegurarse de que no se haya modificado nada. Finalmente, los usuarios deben verificar sus registros de auditoría de la actividad del administrador para determinar si un actor de amenazas utilizó la interfaz web para realizar acciones maliciosas”.
Patrick Tiquet, de Keeper Security, advirtió que el peligro más inmediato es que los atacantes tomen el control total de los cortafuegos afectados, comprometiendo los mismos sistemas diseñados para proteger las redes sensibles.
“Esto abre la puerta a la implementación de malware, el robo de datos, el movimiento lateral dentro de la red e incluso el cierre completo de la red. Para las organizaciones que dependen de estos firewalls, esto podría significar interrupción del negocio, pérdida de datos confidenciales y exposición a consecuencias regulatorias y financieras”, explicó.
Futuro grabado
Nube de inteligencia.