Palo Alto Networks corrige error crítico en la herramienta de migración Expedition
Palo Alto Networks ha lanzado actualizaciones de seguridad para abordar cinco fallos de seguridad que afectan a sus productos, incluyendo un error crítico que podría conducir a una elusión de autenticación. Catalogado como CVE-2024-5910 (puntuación CVSS: 9.3), la vulnerabilidad ha sido descrita como un caso de autenticación faltante en su herramienta de migración Expedition que podría conducir al secuestro de una cuenta de administrador.
“La ausencia de autenticación para una función crítica en Expedition de Palo Alto Networks puede provocar la toma de la cuenta de administrador de la misma para atacantes con acceso a la red a la herramienta,” de esta manera lo comunica la empresa en un comunicado. “Los secretos de configuración, las credenciales y otros datos importados a Expedition están en riesgo debido a este problema.”
El fallo afecta a todas las versiones de Expedition anteriores a la versión 1.2.92, que corrige el problema. Brian Hysell del Centro de Investigación de Ciberseguridad (CyRC) de Synopsys ha sido acreditado con el descubrimiento y reporte del problema.
A pesar de que no hay evidencia de que la vulnerabilidad ha sido explotada en la naturaleza, se aconseja a los usuarios que actualicen a la última versión para protegerse contra posibles amenazas.
Como soluciones alternativas, Palo Alto Networks recomienda que el acceso a la red a Expedition se restrinja a usuarios, hosts o redes autorizadas.
Corregido también por la empresa estadounidense de ciberseguridad es un nuevo fallo revelado en el protocolo RADIUS llamado BlastRADIUS (CVE-2024-3596) que podría permitir a un mal actor con la capacidad de realizar un ataque de adversario-en-el-medio (AitM) entre el firewall PAN-OS de Palo Alto Networks y un servidor RADIUS para evadir la autenticación.
La vulnerabilidad entonces permite al atacante “escalar privilegios a ‘superusuario’ cuando se utiliza la autenticación RADIUS y se selecciona CHAP o PAP en el perfil del servidor RADIUS”. Los siguientes productos se ven afectados por las deficiencias: PAN-OS 11.1, PAN-OS 11.0, PAN-OS 10.2, PAN-OS 10.1, PAN-OS 9.1 y Prisma Access.
Finalmente, cabe mencionar que ni CHAP ni PAP deberían ser utilizados a menos que estén encapsulados por un túnel encriptado, ya que los protocolos de autenticación no ofrecen seguridad de capa de transporte (TLS). No son vulnerables en los casos en que se utilizan en conjunto con un túnel TLS. Sin embargo, es importante señalar que los firewalls PAN-OS configurados para utilizar EAP-TTLS con PAP como protocolo de autenticación para un servidor RADIUS tampoco son susceptibles al ataque.