Los ciberataques ya no son cosa del mañana, son el pan de cada día, y ni siquiera las herramientas más avanzadas están a salvo. Miles de firewalls de Palo Alto Networks ya han sido hackeados por ciberdelincuentes que se aprovecharon de dos vulnerabilidades críticas, aunque estas ya contaban con parches disponibles.
Estas fallas incluyen una omisión de autenticación (CVE-2024-0012) en la interfaz web de administración de PAN-OS, que permite a los atacantes remotos tomar control total con privilegios de administrador, y una escalada de privilegios (CVE-2024-9474) que les da acceso para ejecutar comandos en el firewall con permisos de root.
Aunque la vulnerabilidad CVE-2024-9474 se hizo pública este lunes, Palo Alto Networks ya había advertido a sus clientes desde el 8 de noviembre sobre un posible riesgo de ejecución remota de código (RCE) y recomendó restringir el acceso a los firewalls afectados. El problema terminó siendo identificado oficialmente como CVE-2024-0012 el viernes pasado. Estos ataques dejan una clara lección: no subestimar las alertas de seguridad y actuar rápido para parchear dispositivos críticos.
Palo Alto Networks sigue investigando los ataques que están explotando las dos vulnerabilidades críticas de manera conjunta para atacar "un número limitado" de interfaces web de administración de sus dispositivos. Hasta ahora, ya han detectado a actores maliciosos instalando malware y ejecutando comandos en firewalls comprometidos. Además, advirtieron que es probable que un exploit en cadena ya esté circulando públicamente.
"Esta actividad, que se reportó originalmente el 18 de noviembre de 2024, proviene principalmente de direcciones IP asociadas con servicios VPN anónimos", explicó la compañía este miércoles.
La Unidad 42, su equipo de investigación, indicó que tienen una confianza moderada a alta de que un exploit funcional que combina las vulnerabilidades CVE-2024-0012 y CVE-2024-9474 ya está disponible, lo que podría desencadenar ataques mucho más amplios.
Aunque Palo Alto dice que estos ataques afectan solo a un "número muy pequeño" de firewalls con PAN-OS, Shadowserver, una plataforma de monitoreo de amenazas, señaló el miércoles que actualmente están rastreando más de 2,700 dispositivos PAN-OS vulnerables. ¿Pequeño? Eso está por verse. Shadowserver también está siguiendo de cerca cuántos firewalls de Palo Alto han sido comprometidos, y hasta ahora estiman que alrededor de 2,000 ya han sido hackeados desde que comenzó esta campaña de ataques.
Firewalls PAN-OS pirateados en todo el mundo (Shadowserver)
CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ya incluyó estas dos vulnerabilidades en su catálogo de fallas conocidas explotadas y ha dado a las agencias federales hasta el 9 de diciembre para parchear sus firewalls.
No es la primera advertencia relacionada con Palo Alto Networks. A principios de noviembre, CISA alertó sobre ataques que aprovechaban otra vulnerabilidad crítica de autenticación (CVE-2024-5910) en la herramienta Expedition para la migración de configuraciones del firewall. Esa falla, parcheada en julio, permite restablecer las credenciales de administrador en servidores Expedition expuestos a Internet.
Además, este año los clientes de Palo Alto también tuvieron que lidiar con otra vulnerabilidad crítica (CVE-2024-3400), que afectó a más de 82,000 dispositivos y estaba siendo activamente explotada. CISA exigió entonces a las agencias federales que la corrigieran en menos de siete días.
El miércoles, Palo Alto Networks reforzó su recomendación de proteger las interfaces de gestión de los firewalls restringiendo el acceso únicamente a redes internas confiables. Según la compañía: "El riesgo de estas vulnerabilidades se reduce considerablemente si el acceso a la interfaz web de administración se limita a direcciones IP internas confiables, siguiendo nuestras pautas de implementación recomendadas".
En resumen, si no estás restringiendo el acceso a la administración de tu firewall, estás dejando la puerta abierta para que alguien más entre.
Te podrá interesar leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
¿Qué pueden hacer las empresas?
-
Actualiza ya. Asegúrate de instalar los parches más recientes para las vulnerabilidades CVE-2024-0012 y CVE-2024-9474. No lo dejes para después.
-
Restringe el acceso. Configura las interfaces de administración para que solo puedan ser accedidas desde direcciones IP internas o de confianza. No necesitas que estén expuestas al mundo.
-
Monitorea cualquier actividad rara. Dale un vistazo a los logs para detectar accesos no autorizados o cambios sospechosos en los dispositivos. Más vale prevenir que lamentar.
-
Aplica las mejores prácticas. Revisa las guías de seguridad de Palo Alto y fortalece tus firewalls con controles adicionales. Mejor estar preparado que arrepentirse después.
Los ataques recientes a los firewalls de Palo Alto Networks demuestran que la ciberseguridad no puede dejarse para después. Mantener los sistemas actualizados, reforzar configuraciones y monitorear dispositivos es esencial para proteger tu negocio. Aunque Palo Alto ha proporcionado parches y guías, depende de cada organización actuar rápido. En ciberseguridad, la prevención siempre será tu mejor defensa.
