Palo Alto Networks instó esta semana a las empresas a parchear una vulnerabilidad de día cero recientemente descubierta en uno de sus productos de seguridad más utilizados, después de que piratas informáticos maliciosos comenzaran a explotar el error para ingresar a las redes corporativas.
La vulnerabilidad es conocido oficialmente como CVE-2024-3400 y se encontró en las versiones más recientes del software PAN-OS que se ejecuta en los productos de firewall GlobalProtect de Palo Alto. Debido a que la vulnerabilidad permite a los piratas informáticos obtener un control completo de un firewall afectado a través de Internet sin autenticación, Palo Alto le dio al error una calificación de gravedad máxima. La facilidad con la que los piratas informáticos pueden explotar el error de forma remota pone a miles de empresas que dependen de los firewalls en riesgo de sufrir intrusiones.
Palo Alto dijo Los clientes deben actualizar sus sistemas afectados., advirtiendo que la empresa es “consciente de un número cada vez mayor de ataques” que aprovechan este día cero, descrito así porque la empresa no tuvo tiempo de corregir el error antes de que fuera explotado maliciosamente. Para agregar otra complicación, Palo Alto inicialmente sugirió deshabilitar la telemetría para mitigar la vulnerabilidad, pero dijo esta semana que deshabilitar la telemetría no previene la explotación.
La compañía también dijo que existe un código público de prueba de concepto que permite a cualquiera lanzar ataques aprovechando el día cero.
La Fundación Shadowserver, una organización sin fines de lucro que recopila y analiza datos sobre actividades maliciosas en Internet, dijo sus datos muestran Hay más de 156.000 dispositivos firewall de Palo Alto conectados a Internet potencialmente afectados, lo que representa miles de organizaciones.
Empresa de seguridad Volexity, que descubrió e informó por primera vez la vulnerabilidad a Palo Alto, dijo que encontró evidencia de explotación maliciosa que se remonta al 26 de marzo, unas dos semanas antes de que Palo Alto publicara las correcciones. Volexity dijo que un actor de amenazas respaldado por el gobierno al que llama UTA0218 aprovechó la vulnerabilidad para colocar una puerta trasera y acceder aún más a las redes de sus víctimas. Aún no se conoce el gobierno o estado nacional para el que trabaja UTA0218.
El día cero de Palo Alto es el último de una serie de vulnerabilidades descubiertas en los últimos meses que apuntan a dispositivos de seguridad corporativos, como firewalls, herramientas de acceso remoto y productos VPN. Estos dispositivos se encuentran en el borde de una red corporativa y funcionan como guardianes digitales, pero tienden a contener vulnerabilidades graves que hacen que su seguridad y defensas sean discutibles.
A principios de este año, el proveedor de seguridad Ivanti solucionó varias vulnerabilidades críticas de día cero en su producto VPN, Connect Secure, que permite a los empleados acceder remotamente a los sistemas de una empresa a través de Internet. En ese momento, Volexity vinculó las intrusiones con un grupo de hackers respaldado por China, y rápidamente siguió la explotación masiva de la falla. Dado el uso generalizado de los productos de Ivanti, el gobierno de EE.UU. advirtió a las agencias federales que parchearan sus sistemas y la Agencia de Seguridad Nacional de EE.UU. dijo que estaba rastreando la posible explotación en toda la base industrial de defensa de EE.UU.
Y la empresa de tecnología ConnectWise, que fabrica la popular herramienta para compartir pantalla ScreenConnect utilizada por los administradores de TI para brindar soporte técnico remoto, solucionó vulnerabilidades que los investigadores consideraron “vergonzosamente fáciles de explotar” y también llevaron a la explotación masiva de redes corporativas.
Lea más en TechCrunch: