Palo Alto Networks ha publicado actualizaciones de seguridad para abordar cinco vulnerabilidades de seguridad afectando sus productos, incluido un error crítico que podría provocar una omisión de autenticación.
Catalogada como CVE-2024-5910 (puntuación CVSS: 9,3), la vulnerabilidad se describió como un caso de falta de autenticación en su herramienta de migración Expedition que podría llevar a la toma de control de la cuenta del administrador.
«La falta de autenticación para una función crítica en Palo Alto Networks Expedition puede llevar a que atacantes con acceso a la red Expedition se apoderen de la cuenta de administrador de Expedition», dijo la compañía. dicho en una reseña. “Los secretos de configuración, las credenciales y otros datos importados a Expedition están en riesgo debido a este problema. »
La falla afecta a todas las versiones de Expedition anteriores a la versión 1.2.92, que soluciona el problema. A Brian Hysell, del Centro de Investigación de Ciberseguridad Synopsys (CyRC), se le atribuyó el mérito de descubrir e informar el problema.
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, se recomienda a los usuarios que actualicen a la última versión para protegerse contra posibles amenazas.
Para solucionar este problema, Palo Alto Networks recomienda limitar el acceso a la red a Expedition a usuarios, hosts o redes autorizados.
La compañía estadounidense de ciberseguridad también solucionó una falla recientemente descubierta en el protocolo RADIUS llamado BlastRADIUS (CVE-2024-3596) que podría permitir a un actor malicioso con capacidades llevar a cabo un ataque de adversario en el medio (AitM) entre Palo. Firewall PAN-OS de Alto Networks y un servidor RADIUS para evitar la autenticación.
Luego, la vulnerabilidad permite al atacante «elevar privilegios a «superusuario» cuando se utiliza la autenticación RADIUS y CHAP o PAP está seleccionado en el perfil del servidor RADIUS», dicho.
Los siguientes productos se ven afectados por los defectos:
- PAN-OS 11.1 (versiones < 11.1.3, corrigées dans >= 11.1.3)
- PAN-OS 11.0 (versiones < 11.0.4-h4, corrigées dans >= 11.0.4-h4)
- PAN-OS 10.2 (versiones < 10.2.10, corrigées dans >= 10.2.10)
- PAN-OS 10.1 (versiones < 10.1.14, corrigées dans >= 10.1.14)
- PAN-OS 9.1 (versiones < 9.1.19, corrigées dans >= 9.1.19)
- Prisma Access (todas las versiones, se espera que el parche se lance el 30 de julio)
También se señaló que no se deben utilizar CHAP ni PAP a menos que estén encapsulados mediante un túnel cifrado, ya que los protocolos de autenticación no proporcionan seguridad de la capa de transporte (TLS). No son vulnerables en los casos en que se utilizan junto con un túnel TLS.
Sin embargo, cabe señalar que los firewalls PAN-OS configurados para utilizar EAP-TTLS con PAP como protocolo de autenticación para un servidor RADIUS tampoco son susceptibles al ataque.
