AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Hackers explotan vulnerabilidad crítica en GlobalProtect de Palo Alto (CVE-2024-0257)

admin

Introducción

La multinacional de ciberseguridad Palo Alto Networks ha lanzado una alerta urgente dirigida a equipos de seguridad y responsables de infraestructuras TI, tras detectarse explotación activa de una vulnerabilidad crítica en su producto insignia de acceso remoto, GlobalProtect. La brecha, identificada como CVE-2024-0257, permite a atacantes eludir los mecanismos de autenticación y obtener acceso no autorizado a redes corporativas, poniendo en jaque la seguridad de miles de organizaciones a nivel global.

Contexto del Incidente o Vulnerabilidad

GlobalProtect es la solución VPN corporativa integrada en los dispositivos de seguridad de red de Palo Alto Networks, ampliamente adoptada en entornos empresariales y administración pública. El pasado 14 de junio de 2024, Palo Alto confirmó que actores maliciosos están aprovechando la vulnerabilidad CVE-2024-0257 —descubierta inicialmente en pruebas internas— para lanzar ataques dirigidos contra portales de GlobalProtect expuestos a Internet.

La compañía, que da servicio a más de 85.000 organizaciones, estima que la vulnerabilidad afecta a una parte significativa de sus clientes que aún no han aplicado las actualizaciones correspondientes. El fallo ha sido catalogado como crítico, con una puntuación CVSS de 9.8, y su explotación puede permitir a los atacantes ingresar a la red interna sin necesidad de credenciales válidas.

Detalles Técnicos

La vulnerabilidad CVE-2024-0257 reside en un fallo de verificación en el flujo de autenticación de GlobalProtect dentro del sistema operativo PAN-OS. El error afecta a las versiones PAN-OS 10.2 a 11.1, concretamente cuando se utiliza el portal GlobalProtect accesible desde Internet.

Vector de ataque:

– El atacante envía peticiones manipuladas al endpoint de autenticación del portal GlobalProtect.
– Aprovechando la lógica incorrecta de validación, consigue eludir la autenticación multifactor y la comprobación de credenciales.
– Una vez autenticado, obtiene acceso a recursos internos, pudiendo pivotar hacia otros sistemas.

TTPs (MITRE ATT&CK):

– Initial Access (T1190 – Exploit Public-Facing Application)
– Credential Access (T1110 – Brute Force, aunque en este caso se elude)
– Lateral Movement (T1075 – Pass the Hash, si se obtiene acceso a credenciales adicionales)

Indicadores de compromiso (IoC):

– Accesos inesperados en logs del portal GlobalProtect.
– Peticiones HTTP malformadas dirigidas al endpoint /ssl-vpn/login.esp.
– Elevados intentos de autenticación fallida seguidos de accesos exitosos desde IPs anómalas.
– Uso de frameworks como Metasploit y Cobalt Strike para aprovechar el exploit publicado en repositorios públicos.

Impacto y Riesgos

El impacto potencial de la explotación de CVE-2024-0257 es severo, pues permite a un atacante externo obtener acceso a la infraestructura corporativa sin credenciales. Entre los riesgos principales destacan:

– Compromiso completo de la red interna.
– Robo de información sensible (datos personales, propiedad intelectual, credenciales).
– Despliegue de ransomware o malware persistente.
– Interrupción de servicios críticos y potenciales sanciones regulatorias (GDPR, NIS2).

Según estimaciones del sector, más del 30% de las organizaciones que utilizan GlobalProtect mantienen portales expuestos sin segmentación adecuada, lo que incrementa el riesgo de explotación masiva.

Medidas de Mitigación y Recomendaciones

Palo Alto Networks ha publicado actualizaciones para PAN-OS 10.2.9, 11.0.4 y 11.1.2, que corrigen la vulnerabilidad. Se recomienda encarecidamente:

1. Aplicar de inmediato los parches oficiales en todos los dispositivos afectados.
2. Revisar los logs de acceso al portal GlobalProtect, buscando los IoC indicados.
3. Restringir temporalmente el acceso externo al portal GlobalProtect mediante listas blancas de IP.
4. Implementar monitorización avanzada y alertas SIEM sobre accesos sospechosos.
5. Realizar auditorías de seguridad post-explotación para detectar movimientos laterales.
6. Actualizar políticas de respuesta a incidentes e informar a usuarios y responsables de cumplimiento.

Opinión de Expertos

Varios expertos en ciberseguridad han señalado la gravedad del fallo debido al amplio despliegue de GlobalProtect en entornos críticos. “Este tipo de vulnerabilidades son especialmente peligrosas porque permiten a un atacante saltarse los controles de autenticación, convirtiendo cualquier error de configuración en una puerta abierta”, afirma Óscar Suárez, analista principal en un SOC de referencia. Además, se ha detectado la rápida adopción de exploits funcionales en frameworks como Metasploit, acelerando el ciclo de explotación.

Implicaciones para Empresas y Usuarios

La explotación activa de CVE-2024-0257 subraya la importancia de una gestión proactiva de vulnerabilidades y de mantener procedimientos de parcheo ágil. Las empresas que no apliquen las actualizaciones recomendadas se exponen no sólo a brechas de seguridad, sino también a sanciones regulatorias bajo marcos como GDPR o NIS2, que exigen proteger el acceso remoto a datos personales y sistemas críticos. Los usuarios finales deben ser informados de posibles compromisos de sus credenciales y extremar la vigilancia ante accesos anómalos.

Conclusiones

La explotación de la vulnerabilidad CVE-2024-0257 en GlobalProtect pone de manifiesto la necesidad de reforzar la seguridad en soluciones de acceso remoto, especialmente en un contexto de digitalización acelerada y trabajo híbrido. El despliegue inmediato de parches y la revisión de las políticas de exposición de portales son actuaciones críticas para mitigar el riesgo. La colaboración entre equipos de TI, responsables de cumplimiento y proveedores de seguridad resulta esencial para reducir la superficie de ataque y responder de manera eficaz a nuevas amenazas.

(Fuente: www.bleepingcomputer.com)