Actualmente los actores de amenazas han dado un paso adelante incorporando a su arsenal de exploits una falla de seguridad recientemente revelada que afecta los firewalls de Palo Alto Networks. Siendo estos responsables del uso del malware de minería de criptomonedas “RedTail”.
El problema surge en la incorporación de una vulnerabilidad PAN-OS con actualizaciones del malware, a su conjunto de herramientas, y que ahora incorpora nuevas técnicas anti-análisis. Según los hallazgos de la empresa de seguridad e infraestructura web Akamai. «Los atacantes han avanzado al utilizar grupos privados de criptominería, lo que les proporciona un mayor control sobre los resultados, a pesar del incremento en los costos operativos y financieros».
La secuencia de infección descubierta por Akamai aprovecha una vulnerabilidad en PAN-OS, ahora parcheada e identificada como CVE-2024-3400 (CVSS: 10.0). Esta falla de seguridad podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el firewall.
Una explotación exitosa es seguida por la ejecución de comandos que recuperan y ejecutan un script de shell bash desde un dominio externo. Este script, a su vez, descarga la carga útil de RedTail según la arquitectura de la CPU.
Akamai describió a RedTail como un sistema de alto nivel, un aspecto que no se observa comúnmente entre las familias de malware para mineros de criptomonedas que existen en el mercado. Actualmente no está claro quién está detrás del malware, aunque el uso de grupos privados de minería de criptomonedas refleja una táctica utilizada por el Grupo Lazarus, vinculado a Corea del Norte, conocido por orquestar ataques cibernéticos de gran alcance con fines de lucro.
Versiones afectadas y parches corregidos:
Versiones afectadas:
- PAN-OS 11.1 < 11.1.2-h3
- PAN-OS 11.0 < 11.0.4-h1
- PAN-OS 10.2 < 10.2.7-h8, < 10.2.8-h3, < 10.2.9-h1
Solución:
La solución principal consiste en actualizar urgentemente el software de PAN-OS a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad:
PAN-OS 10.2
- 10.2.9-h1 (Released 4/14/24)
- 10.2.8-h3 (Released 4/15/24)
- 10.2.7-h8 (Released 4/15/24)
- 10.2.6-h3 (ETA: 4/16/24)
- 10.2.5-h6 (ETA: 4/16/24)
- 10.2.3-h13 (ETA: 4/17/24)
- 10.2.1-h2 (ETA: 4/17/24)
- 10.2.2-h5 (ETA: 4/18/24)
- 10.2.0-h3 (ETA: 4/18/24)
- 10.2.4-h16 (ETA: 4/19/24)
PAN-OS 11.0
- 11.0.4-h1 (Released 4/14/24)
- 11.0.3-h10 (ETA: 4/16/24)
- 11.0.2-h4 (ETA: 4/16/24)
- 11.0.1-h4 (ETA: 4/17/24)
- 11.0.0-h3 (ETA: 4/18/24)
PAN-OS 11.1
- 11.1.2-h3 (Released 4/14/24)
- 11.1.1-h1 (ETA: 4/16/24)
- 11.1.0-h3 (ETA: 4/17/24)
Recomendaciones
- Aplicar lo antes posible los parches de seguridad para mitigar los riesgo potenciales.
- Monitorear la red para detectar actividad anormal e investigar cualquier actividad inesperada que se presente.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: