Detección de CVE-2024-3400: Una Vulnerabilidad de Inyección de Comandos de Máxima Gravedad Día-Cero en PAN-OS de Software GlobalProtect
Tabla de contenidos:
Una nueva vulnerabilidad de día cero de inyección de comandos en la función GlobalProtect del software PAN-OS de Palo Alto Networks ocupa los titulares. La falla altamente crítica, identificada como CVE-2024-3400, ya ha sido explotada en una serie de ataques en el entorno.
Detectar Intentos de Explotación de CVE-2024-3400
El número de vulnerabilidades armadas para ataques en el entorno aumenta enormemente cada año, con más de 30K nuevas fallas descubiertas solo en 2023. Esto convierte la Detección de Explotación de Vulnerabilidades en uno de los casos de uso de ciberseguridad más relevantes. Para ayudar a los defensores cibernéticos a abordar las amenazas emergentes a tiempo y defenderse proactivamente, la Plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto completo de productos para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Pila de Detección.
Respaldado por la biblioteca de detección como código más grande del mundo de algoritmos, que aborda cualquier ataque cibernético o amenaza emergente bajo un SLA de 24 horas, los profesionales de seguridad pueden identificar fácilmente la actividad maliciosa y agilizar la investigación para detectar intrusiones en las etapas más tempranas.
En vista de la explotación activa de una vulnerabilidad crítica de día cero que afecta a los cortafuegos de Palo Alto Networks, el equipo de SOC Prime creó un conjunto de algoritmos de detección para identificar posibles intentos de explotación de CVE-2024-3400 basándose en el PoC disponible.
Ambas reglas en el conjunto son compatibles con 28 tecnologías SIEM, EDR y Data Lake y están mapeadas al® marco MITRE ATT&CK v14.1. Además, las detecciones se enriquecen con metadatos extensos e información detallada de CTI.
Para mantenerse en el camino y no perderse actualizaciones valiosas, los defensores cibernéticos pueden buscar nuevas reglas relevantes que aborden los exploits de CVE-2024-3400 presionando el Explorar Detecciones botón abajo.
Análisis de CVE-2024-3400
Una crítica nueva CVE-2024-3400 vulnerabilidad de día cero en los cortafuegos de Palo Alto Networks sale a la luz con la puntuación más alta de CVSS de 10.0. La vulnerabilidad de inyección de comandos desvelada afecta a versiones específicas de PAN-OS (10.2, 11.0 y 11.1) junto con ciertas configuraciones de características. Sin embargo, Cloud NGFW, los dispositivos Panorama y Prisma Access no están dentro del alcance de impacto de CVE-2024-3400.
Según el aviso del proveedor, si se cumplen ciertas condiciones para la explotación, la vulnerabilidad podría potencialmente permitir la ejecución de código arbitrario con privilegios de root en el cortafuegos. Se han disponibilizado parches para CVE-2024-3400 para algunas versiones afectadas a partir del 14 de abril de 2024.
Palo Alto Networks afirma que CVE-2024-3400 puede ser explotada en el entorno en una serie de ciberataques. Los investigadores de Volexity rastrea a los adversarios relacionados bajo el alias UTA0218. Los atacantes pueden armar la falla dentro de GlobalProtect explotando remotamente el dispositivo de cortafuegos, estableciendo una shell inversa y descargando herramientas adicionales en el dispositivo comprometido, como una utilidad de túnel basada en Golang llamada GOST.
Durante el curso de la investigación sobre CVE-2024-3400, Volexity ha observado intentos de los atacantes de implantar una puerta trasera en Python, llamada UPSTYLE, en el cortafuegos. El malware facilita la ejecución de comandos suplementarios en el dispositivo a través de solicitudes de red meticulosamente diseñadas.
Tras una exitosa explotación de CVE-2024-3400, los adversarios de UTA0218 descargan un kit de herramientas ofensivo adicional desde sus servidores remotos para propagar aún más la infección. Aplican movimiento lateral, proceden con la extracción de datos sensibles y potencialmente confían en actividades de reconocimiento para detectar sistemas expuestos a ataques.
Como pasos de mitigación de CVE-2024-3400, los defensores recomiendan actualizar rápidamente el parche proporcionado por el proveedor. El proveedor también aconseja a los clientes con una suscripción a Prevención de Amenazas que eviten ataques que armen la falla empleando las IDs de Amenaza 95187, 95189 y 95191, asegurándose de que se hayan implementado medidas de protección contra vulnerabilidades. Palo Alto Networks también ha creado un comando CLI específico para que los usuarios verifiquen instantáneamente cualquier signo de intrusiones, que se puede encontrar en el aviso del proveedor relacionado.
Con la divulgación pública del código PoC de CVE-2024-3400 y el aumento de los riesgos de ataques en el entorno, la nueva vulnerabilidad de día cero descubierta requiere una ultra-responsividad de los defensores. Attack Detective de SOC Prime ofrece una solución SaaS proactiva para optimizar continuamente el perfil de ciberseguridad de la organización con validación automatizada de la pila de detección y capacidades avanzadas de caza de amenazas, permitiendo a los equipos investigar incidentes en lugar de flujos interminables de alertas y reducir eficazmente los puntos ciegos en la cobertura de detección. offers a proactive SaaS solution to continuously risk-optimize the organization’s cybersecurity posture with automated detection stack validation and advanced threat hunting capabilities, enabling teams to investigate incidents rather than never-ending streams of alerts and efficiently reduce blind spots in detection coverage.
