Palo Alto Networks tiene compartido Guía de solución para una falla de seguridad crítica recientemente revelada que afecta a PAN-OS y que ha sido objeto de explotación activa.
La vulnerabilidad, rastreada como CVE-2024-3400 (Puntuación CVSS: 10,0), podría utilizarse como arma para obtener la ejecución remota de comandos de shell no autenticados en dispositivos susceptibles. Se ha solucionado en varias versiones de PAN-OS 10.2.x, 11.0.x y 11.1.x.
Hay evidencia que sugiere que el problema ha sido explotado como un día cero desde al menos el 26 de marzo de 2024 por un grupo de amenazas rastreado como UTA0218.
La actividad, cuyo nombre en clave Operación Eclipse de Medianocheimplica el uso de la falla para eliminar una puerta trasera basada en Python llamada UPSTYLE que es capaz de ejecutar comandos transmitidos a través de solicitudes especialmente diseñadas.
Las intrusiones no se han vinculado a ningún actor o grupo de amenazas conocido, pero se sospecha que se trata de un equipo de piratería respaldado por el estado, dada la técnica y la victimología observadas.
El últimos consejos de remediación ofrecido por Palo Alto Networks se basa en el grado de compromiso:
- Sonda de nivel 0: Intento de explotación fallido: actualice a la última revisión proporcionada
- Prueba de nivel 1: Se están probando pruebas de vulnerabilidad en el dispositivo, incluida la creación de un archivo vacío en el firewall pero sin ejecución de comandos no autorizados. Actualización a la última revisión proporcionada.
- Exfiltración potencial de nivel 2: Señales donde archivos como «running_config.xml» se copian a una ubicación a la que se puede acceder a través de solicitudes web: actualice a la última revisión proporcionada y realice un restablecimiento de datos privados
- Nivel 3 Acceso interactivo: Evidencia de ejecución de comandos interactivos, como la introducción de puertas traseras y otros códigos maliciosos: actualice a la última revisión proporcionada y realice un restablecimiento de fábrica
«Realizar un restablecimiento de datos privados elimina los riesgos de un posible uso indebido de los datos del dispositivo», dijo Palo Alto Networks. «Se recomienda un restablecimiento de fábrica debido a la evidencia de actividad de actores de amenazas más invasivas».