El aviso de CERT-In sobre las vulnerabilidades de Palo Alto Networks y los instaladores falsos de GlobalProtect de WikiLoader destaca los principales riesgos de seguridad. Conclusiones clave CERT-In ha emitido un aviso crítico que destaca las vulnerabilidades en varias aplicaciones de Palo Alto Networks, incluidas GlobalProtect, Cloud NGFW, PAN-OS y Cortex XSOAR. Al mismo tiempo, se han detectado nuevos métodos de distribución de malware que involucran a WikiLoader, aprovechando instaladores falsificados de GlobalProtect. Las vulnerabilidades identificadas incluyen la escalada de privilegios (CVE-2024-5915), la divulgación de información (CVE-2024-5916) y la inyección de comandos (CVE-2024-5914). WikiLoader, un cargador sofisticado, utiliza técnicas de evasión avanzadas como el envenenamiento de SEO para distribuir su carga útil. Las versiones específicas del software afectado y las tácticas de malware recientemente observadas requieren atención inmediata. Las actualizaciones oportunas y los mecanismos de defensa sólidos son fundamentales para mitigar estos riesgos. Las acciones recomendadas incluyen actualizar el software afectado, restringir el acceso, usar herramientas de detección de amenazas y mantenerse alerta ante campañas de malware sofisticadas como WikiLoader. Descripción general El reciente aviso de CERT-In y la aparición del malware WikiLoader resaltan las preocupaciones de seguridad apremiantes que involucran las aplicaciones de Palo Alto Networks y las nuevas técnicas de distribución de malware. CERT-In ha identificado vulnerabilidades críticas en GlobalProtect, Cloud NGFW, PAN-OS y Cortex XSOAR. Estas vulnerabilidades van desde la escalada de privilegios y la divulgación de información hasta la inyección de comandos. En paralelo, la campaña WikiLoader, que utiliza instaladores falsos de GlobalProtect para la distribución de malware, ilustra la creciente sofisticación de las amenazas cibernéticas. Las vulnerabilidades abarcan múltiples aplicaciones de Palo Alto Networks, cada una con distintos grados de impacto y riesgo. La aplicación GlobalProtect para Windows, una herramienta ampliamente utilizada para el acceso remoto seguro, está afectada en varias versiones. Específicamente, las versiones 6.3 < 6.3.1, 6.2 < 6.2.4, 6.1 < 6.1.5, 6.0 < 6.0.x y 5.1 < 5.1.x se ven afectadas. Descripción detallada de vulnerabilidades y campaña de malware 1. Vulnerabilidad de escalada de privilegios (CVE-2024-5915) CVE-2024-5915 es una vulnerabilidad de escalada de privilegios local encontrada en la aplicación GlobalProtect para Windows. Este problema surge de un error no especificado que permite a un usuario local ejecutar programas con privilegios elevados, lo que potencialmente compromete todo el sistema. La falla puede permitir que un atacante que ya tiene acceso local obtenga control administrativo sobre el sistema, lo que lleva a un alto riesgo de compromiso de todo el sistema. La vulnerabilidad está clasificada como MEDIA, con una puntuación base CVSSv4.0 de 5.2. El vector de ataque es local, lo que significa que el atacante necesita acceso físico o de escritorio remoto para explotar la falla. La complejidad del ataque es baja, lo que indica que explotar la vulnerabilidad no requiere técnicas sofisticadas. El impacto puede ser significativo y provocar posibles violaciones de la confidencialidad, la integridad y la disponibilidad. La vulnerabilidad afecta a las versiones 6.3 < 6.3.1, 6.2 < 6.2.4, 6.1 < 6.1.5, 6.0 < 6.0.x y 5.1 < 5.1.x de la aplicación GlobalProtect. Se planean parches y actualizaciones, y se esperan actualizaciones para agosto de 2024 para la versión 6.3.1, noviembre de 2024 para 6.0.x y diciembre de 2024 para 5.1.x. Hasta que se apliquen las actualizaciones, se recomienda restringir el acceso a los directorios de instalación de GlobalProtect y asegurarse de que estén protegidos de modificaciones no administrativas. 2. Vulnerabilidad de divulgación de información (CVE-2024-5916) CVE-2024-5916 es una vulnerabilidad de divulgación de información que afecta a PAN-OS y Cloud NGFW. Esta falla implica la exposición de información confidencial, como secretos, contraseñas y tokens de sistemas externos, a través de registros de configuración. Un administrador de solo lectura con acceso a estos registros podría ver datos confidenciales, lo que podría generar un acceso no autorizado a sistemas críticos. Esta vulnerabilidad se clasifica como MEDIA, con una puntuación base CVSSv4.0 de 6,0. El vector de ataque está basado en la red, lo que significa que un atacante puede explotar la falla de forma remota. La complejidad del ataque es baja y no se requiere interacción del usuario, lo que hace que la vulnerabilidad sea particularmente preocupante. El impacto principal es en la confidencialidad, aunque la integridad y la disponibilidad no se ven afectadas directamente. Las versiones de PAN-OS 11.0 < 11.0.4, 10.2 < 10.2.8 y las versiones de Cloud NGFW anteriores al 15 de agosto en Azure y al 23 de agosto en AWS se ven afectadas. Las organizaciones deben actualizar a PAN-OS 11.0.4, 10.2.8 o versiones posteriores y asegurarse de que Cloud NGFW se actualice a las versiones publicadas en las fechas especificadas o después. También es crucial revocar cualquier credencial comprometida para evitar el acceso no autorizado. 3. Vulnerabilidad de inyección de comandos (CVE-2024-5914) CVE-2024-5914 es una vulnerabilidad de inyección de comandos que se encuentra en el paquete CommonScripts de Cortex XSOAR. Este problema permite a los atacantes no autenticados ejecutar comandos arbitrarios dentro del contexto de un contenedor de integración. Las vulnerabilidades de inyección de comandos son particularmente peligrosas ya que pueden explotarse para ejecutar comandos arbitrarios, lo que podría provocar graves infracciones de seguridad. La vulnerabilidad tiene una calificación de gravedad ALTA, con una puntuación base CVSSv4.0 de 7,0. El vector de ataque está basado en la red y, si bien la complejidad del ataque es alta, la falta de interacción requerida por el usuario lo convierte en una amenaza importante. El impacto incluye riesgos sustanciales para la confidencialidad e integridad, con un posible impacto bajo en la disponibilidad. La vulnerabilidad afecta a las versiones del paquete CommonScripts de Cortex XSOAR anteriores a la 1.12.33. Para solucionar el problema, actualice a la versión 1.12.33 o posterior. Además, eliminar cualquier uso de integración de los scripts ScheduleGenericPolling o GenericPollingScheduledTask puede ayudar a prevenir la explotación. La campaña de malware WikiLoader WikiLoader es un cargador sofisticado que se ha observado que utiliza técnicas de evasión avanzadas para distribuir malware. El cargador aprovecha el envenenamiento de SEO y los instaladores falsos de GlobalProtect para entregar su carga útil. Este método implica falsificar instaladores de software legítimos, lo que aumenta la probabilidad de entrega exitosa de malware. Los atacantes han utilizado técnicas de envenenamiento de SEO para dirigir a los usuarios a sitios falsificados, como bitbucket[.]org, donde se alojan instaladores falsos de GlobalProtect que contienen componentes de WikiLoader. Esta técnica aprovecha la alta confianza depositada en las fuentes de software legítimas para engañar a los usuarios para que descarguen cargas maliciosas. Tras la infección, WikiLoader descarga y extrae componentes adicionales, los ejecuta y utiliza binarios legítimos para la carga lateral. El malware crea persistencia en el sistema a través de nombres de archivo aleatorios y emplea varios métodos de ofuscación para evitar la detección. WikiLoader incluye varias medidas antianálisis, como la detección de entornos de máquinas virtuales para evadir el análisis de sandbox, la visualización de mensajes de error engañosos y el empleo de ofuscación a través de nombres de carpeta aleatorios. Estas técnicas están diseñadas para dificultar la detección y el análisis por parte de las herramientas de seguridad. Recomendaciones y mitigaciones Para abordar de forma eficaz las vulnerabilidades identificadas y las nuevas amenazas de malware, las organizaciones deben implementar las siguientes medidas: Para abordar las vulnerabilidades, aplique los últimos parches y actualizaciones para GlobalProtect, PAN-OS, Cloud NGFW y Cortex XSOAR. Compruebe si hay actualizaciones con regularidad y aplíquelas de inmediato. Limite el acceso a los directorios de instalación de GlobalProtect y asegúrese de que las credenciales confidenciales en PAN-OS estén protegidas. Revoque las credenciales comprometidas y revise los controles de acceso para evitar el acceso no autorizado. Implemente y configure herramientas de detección de amenazas para monitorear la actividad inusual y los signos de infección. Utilice consultas XQL para identificar indicadores de WikiLoader y otros comportamientos de malware. Brinde al personal programas de capacitación y concientización sobre amenazas emergentes y mejores prácticas de seguridad. Asegúrese de que los empleados estén informados sobre los riesgos de descargar software de fuentes no confiables y la importancia de verificar la integridad del software. Realice evaluaciones y análisis de vulnerabilidades regulares para identificar y abordar posibles debilidades de seguridad. Asegúrese de que todas las actualizaciones y parches se apliquen de manera oportuna. Conclusión El reciente aviso de CERT-In y el surgimiento de la campaña de malware WikiLoader resaltan vulnerabilidades críticas y amenazas cibernéticas en evolución. Las vulnerabilidades identificadas en las aplicaciones de Palo Alto Networks y las tácticas sofisticadas empleadas por WikiLoader subrayan la necesidad de medidas de seguridad proactivas. Al abordar las vulnerabilidades a través de actualizaciones oportunas, restringir el acceso y emplear mecanismos de defensa sólidos, las organizaciones pueden reducir significativamente el riesgo de explotación. Además, mantenerse alerta ante campañas de malware sofisticadas y mejorar continuamente las prácticas de seguridad son esenciales para proteger los sistemas y los datos confidenciales. Implementar las acciones recomendadas ayudará a protegerse contra estos riesgos y mejorar la postura de seguridad general.