Los ciberdelincuentes están explotando activamente una vulnerabilidad de día cero en PAN-OS que afecta al portal de autenticación de ID de usuario (cautivo). Esta vulnerabilidad permite la ejecución remota de código sin autenticación con privilegios de administrador en firewalls de las series PA y VM.
¿Cuál es la amenaza?
Esta vulnerabilidad de desbordamiento de búfer en el portal de autenticación de ID de usuario de PAN-OS permite a un atacante no autenticado ejecutar código arbitrario con privilegios de administrador en firewalls vulnerables de las series PA y VM mediante el envío de paquetes especialmente diseñados. En las intrusiones observadas, los atacantes lograron la ejecución de código inyectando shellcode en un proceso de trabajo de NGINX que gestiona el tráfico del portal. Tras obtener acceso, implementaron utilidades de tunelización de código abierto (por ejemplo, Earthworm y ReverseSocks5), utilizaron credenciales almacenadas en el firewall para realizar reconocimiento de directorios y eliminaron deliberadamente registros y archivos para ocultar pruebas de la explotación.
¿Por qué es digno de mención?
Esta amenaza destaca porque explota una vulnerabilidad de ejecución remota de código de día cero sin autenticación en los firewalls perimetrales, lo que podría otorgar a los atacantes el control total de los sistemas ubicados en el borde de la red, que a menudo cuentan con altos privilegios, visibilidad del tráfico sensible y acceso a la infraestructura de identidad. La actividad observada muestra técnicas de ataque bien organizadas, que incluyen técnicas de aprovechamiento de recursos del sistema, acceso interactivo intermitente, abuso de identidad para el movimiento lateral y manipulación selectiva de registros para evadir la detección. Si bien la explotación actual parece limitada, los entornos que exponen el Portal de Autenticación de ID de Usuario a redes no confiables pueden enfrentar una amplia superficie de ataque, por lo que una mitigación rápida es fundamental.
¿Cuál es la exposición o el riesgo?
Las organizaciones que exponen el portal de autenticación de ID de usuario de PAN-OS a redes no confiables se enfrentan a un riesgo inmediato. Una explotación exitosa puede otorgar a los atacantes control total de nivel raíz del firewall, lo que permite la manipulación de la configuración, la persistencia, el robo de credenciales y el reconocimiento de Active Directory o del dominio mediante cuentas de servicio almacenadas en el dispositivo. Los atacantes también pueden establecer túneles ocultos para penetrar más profundamente en el entorno y extraer datos, eliminando registros y artefactos para dificultar la respuesta a incidentes y prolongar el tiempo de permanencia.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
inventaríe todos los firewalls de las series PA y VM y determine si el portal de autenticación de ID de usuario (cautivo) está habilitado y es accesible desde redes no confiables.
Mapear las zonas de acceso y las interfaces para identificar cualquier exposición a Internet o a socios comerciales.
Confirme que las implementaciones de Prisma Access, Cloud NGFW y Panorama no se vean afectadas.
Aplicar medidas de mitigación inmediatas:
- Restrinja el acceso al portal cautivo únicamente a redes internas de confianza; asegúrese de que no sea accesible públicamente.
- Desactive las páginas de respuesta en los perfiles de administración de interfaz asociados a interfaces de capa 3 no confiables o con acceso a Internet.
- Desactive completamente el portal cautivo si no es necesario.
- Habilite la ID de amenaza 510019 y actualice a la versión 9097-10022 o posterior del contenido de Aplicaciones y amenazas (clientes de Prevención avanzada de amenazas).
- Asegúrese de tener PAN-OS 11.1 o posterior para la compatibilidad con el decodificador.
Refuerzo de los controles de red y gestión:
- Aísle el plano de administración mediante redes de administración dedicadas o acceso VPN con autenticación multifactor (MFA) y lista blanca de direcciones IP.
- Siempre que sea posible, coloque los servicios accesibles desde Internet detrás de servidores proxy de confianza.
- Reenvíe todos los registros del firewall a un SIEM externo o a un repositorio de registros seguro prácticamente en tiempo real.
Detección y búsqueda de vulnerabilidades:
- Inspeccione los dispositivos expuestos para detectar comportamientos anormales del proceso NGINX, fallos, volcados de memoria o uso de ptrace.
- Revise los registros del sistema, de fallos y de NGINX en busca de lagunas o eliminaciones cerca de las ventanas de posible explotación.
- Búsqueda de herramientas de tunelización (por ejemplo, Earthworm, ReverseSocks5), reconocimiento de directorios mediante cuentas de servicio de firewall y conexiones salientes anómalas o túneles SOCKS.
- Supervise las consultas sospechosas a Active Directory, el uso de credenciales y las anomalías de autenticación SAML de alto volumen.
Responder y recuperarse:
- Aísle inmediatamente cualquier dispositivo que se sospeche que está comprometido y conserve los registros y los archivos relevantes.
- Involucre a los equipos de soporte del proveedor y de respuesta a incidentes.
- Reinstalar una imagen de PAN-OS en los dispositivos afectados, utilizando una versión que se sabe que funciona correctamente, y restaurar las configuraciones validadas.
- Rote todas las credenciales, secretos, claves API y certificados asociados al firewall.
- Validar los nodos HA para detectar compromisos secundarios.
Fortalecer la gobernanza y la garantía de calidad:
- Implementar acuerdos de nivel de servicio (SLA) para la aplicación rápida de parches y la actualización de contenido en los servicios expuestos a Internet.
- Verifique periódicamente que el portal cautivo no esté expuesto a redes no confiables.
- Supervise continuamente la superficie de ataque externa y haga un seguimiento de los avisos de los proveedores para tomar medidas oportunas.
