Investigadores en seguridad han detectado un aumento significativo de escaneos masivos dirigidos a la vulnerabilidad crítica CVE-2024-3400 en PAN-OS GlobalProtect. Esta falla permite la creación arbitraria de archivos que los atacantes aprovechan para inyectar comandos en el sistema operativo y obtener ejecución remota con privilegios de root sin necesidad de autenticación previa. La explotación se realiza a través del portal SSL VPN accesible en red, con detecciones basadas en patrones anómalos en los registros del servicio GlobalProtect.
CVE y severidad
| CVE | CVSS 3.1 | Severidad | Impacto | Vector de ataque |
|---|---|---|---|---|
| CVE-2024-3400 | 10.0 (Crítico) | Crítica | Creación arbitraria de archivos que conduce a inyección de comandos OS y ejecución remota con privilegios root | Red, sin autenticación |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Condición |
|---|---|---|---|
| Palo Alto Networks | PAN-OS GlobalProtect (gateway o portal habilitado) | 10.2 antes de 10.2.9-h1, 11.0 antes de 11.0.4-h1, 11.1 antes de 11.1.2-h3 | Dispositivos on-premises |
Solución
Actualizar a PAN-OS versiones 10.2.9-h1, 11.0.4-h1 o 11.1.2-h3 o superiores.
Recomendaciones
Se recomienda priorizar la instalación inmediata del parche y desplegar firmas de Threat Prevention (95187, 95189, 95191) para bloquear intentos iniciales de explotación; además, auditar logs GPSvc para detectar patrones anómalos en cadenas de session ID y revisar configuraciones y archivos sospechosos en el portal GlobalProtect.