La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que dos fallas más que afectan el software Palo Alto Networks Expedition han sido explotadas activamente en la naturaleza.
Para ello, ha agregado las vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las actualizaciones necesarias antes del 5 de diciembre de 2024.
Las fallas de seguridad se enumeran a continuación:
- CVE-2024-9463 (Puntuación CVSS: 9,9) – Vulnerabilidad de inyección de comandos del sistema operativo Expedition de Palo Alto Networks
- CVE-2024-9465 (Puntuación CVSS: 9,3) – Vulnerabilidad de inyección SQL de Palo Alto Networks Expedition
La explotación exitosa de las vulnerabilidades podría permitir a un atacante no autenticado ejecutar comandos arbitrarios del sistema operativo como root en la herramienta de migración Expedition o revelar el contenido de su base de datos.
Esto podría luego allanar el camino para la divulgación de nombres de usuario, contraseñas de texto sin cifrar, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS, o crear y leer archivos arbitrarios en el sistema vulnerable.
Palo Alto Networks abordó estas deficiencias como parte de las actualizaciones de seguridad publicadas el 9 de octubre de 2024. Desde entonces, la compañía revisó su aviso original para reconocer que está “consciente de los informes de CISA de que hay evidencia de explotación activa para CVE-2024-9463 y CVE-2024-9465.”
Dicho esto, no se sabe mucho sobre cómo se explotan estas vulnerabilidades, quién y qué tan extendidos están estos ataques.
El desarrollo también se produjo una semana después de que CISA notificara a las organizaciones sobre la explotación activa de CVE-2024-5910 (puntuación CVSS: 9,3), otra falla crítica que afecta a Expedition.
Palo Alto Networks confirma una nueva falla bajo un ataque limitado
Desde entonces, Palo Alto Networks también ha confirmado que ha detectado una vulnerabilidad de ejecución remota de comandos no autenticada que se utiliza como arma contra un pequeño subconjunto de interfaces de administración de firewall que están expuestas a Internet, instando a los clientes a protegerlas.
“Palo Alto Networks ha observado actividad de amenazas que explota una vulnerabilidad de ejecución remota de comandos no autenticados contra un número limitado de interfaces de administración de firewall que están expuestas a Internet”, agregó.
La compañía, que está investigando la actividad maliciosa y le ha dado a la vulnerabilidad una puntuación CVSS de 9,3 (sin identificador CVE), también dijo que se está “preparando para publicar correcciones y firmas de prevención de amenazas lo antes posible”.