Cibersegurança

Nova vulnerabilidade em firewall PAN-OS é explorada ativamente

Nova falha no PAN-OS permite execução remota de comandos e está sendo explorada. Indicadores de comprometimento foram divulgados pela Palo Alto Networks.

Imagem com a logomarca da Palo Alto

A Palo Alto Networks confirmou a exploração de uma falha zero-day em seu firewall PAN-OS, uma das soluções de segurança de rede mais utilizadas globalmente. A vulnerabilidade, com um CVSS de 9.3, permite execução remota de comandos sem necessidade de autenticação ou interação do usuário, representando um risco crítico para organizações que utilizam o sistema.

Nova vulnerabilidade em firewall PAN-OS é explorada ativamente

A empresa divulgou indicadores de comprometimento (IoCs), incluindo os seguintes endereços IP de onde se observou atividade maliciosa:

  • *136.144.17[.]
  • **173.239.218[.]251
  • *216.73.162[.]

Contudo, a Palo Alto Networks alertou que esses IPs podem incluir acessos legítimos originados de VPNs terceirizadas, enfatizando a necessidade de análise cuidadosa antes de bloqueios indiscriminados.

Impacto e mitigação

A falha afeta o gerenciamento via interface web do PAN-OS quando acessível pela internet. Em cenários onde o acesso ao painel de gerenciamento é limitado a IPs específicos, a severidade é reduzida para um CVSS de 7.5, já que invasores precisariam acesso prévio aos IPs restritos.

A empresa já havia aconselhado, em 8 de novembro de 2024, a restrição de acesso ao gerenciamento para evitar a exploração do problema, que agora foi confirmado em ataques reais. Apesar disso, não há detalhes sobre os métodos usados pelos invasores ou os alvos atingidos.

Ações recomendadas

Como ainda não há correção disponível para a vulnerabilidade, as organizações devem imediatamente:

  1. Restringir o acesso à interface de gerenciamento a um número limitado de IPs confiáveis.
  2. Monitorar o tráfego de rede em busca dos IoCs mencionados.
  3. Aplicar outras medidas de defesa em camadas, como segmentação de rede e uso de firewalls adicionais para proteger o painel de controle.

Enquanto isso, a Palo Alto Networks está investigando a falha e promete atualizações futuras. É importante observar que outros produtos da empresa, como Prisma Access e Cloud NGFW, não são afetados por esta vulnerabilidade.

Falhas adicionais e contexto geral

Além dessa ameaça zero-day, a CISA relatou a exploração ativa de outras vulnerabilidades críticas no Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463, e CVE-2024-9465). Embora ainda não haja evidências de relação entre os ataques, o cenário reforça a urgência de aprimorar a segurança cibernética de todas as infraestruturas que utilizam soluções Palo Alto.

Proteger sistemas críticos deve ser uma prioridade, especialmente diante de uma ameaça que continua evoluindo.

Acesse a versão completa
Sair da versão mobile