Palo Alto Networks corrigió vulnerabilidades en PAN-OS

10 Septiembre 2020
Crítico

Palo Alto Networks, que en la actualidad es utilizado por más de 66.000 empresas en 150 países de todo el mundo, ha publicado 9 vulnerabilidades para sus dispositivos PAN-OS, las cuales se desglosan con las siguientes severidades: 1 crítica, 5 altas, 1 media y 2 bajas.

Se destaca siguiente CVE de importancia crítica con una puntuación de 9.8 en CVSS:3.1:

CVE-2020-2040 PAN-OS: Buffer overflow cuando está habilitado el portal cautivo o la autenticación multifactor (MFA)

Una vulnerabilidad de buffer overflow en PAN-OS permite a un atacante no autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios de root al enviar una solicitud maliciosa al portal cautivo o a la interfaz de autenticación multifactor.

Este problema impacta:

  • Todas las versiones de PAN-OS 8.0;
  • Versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.15
  • Versiones de PAN-OS 9.0 anteriores a PAN-OS 9.0.9
  • Versiones de PAN-OS 9.1 anteriores a PAN-OS 9.1.3.

Este problema no afecta la VPN de GlobalProtect o las interfaces web de administración de PAN-OS.

Palo Alto Networks, señala que todas las versiones de PAN-OS versión 8.0 se ven afectadas y la única solución para abordar esta vulnerabilidad es actualizar a otra versión fija fuera de la rama 8.0.

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes e incluso a su proveedor de servicio.

El listado de las CVE se adjunta a continuación:


Tags: #PaloAlto #parche #panos #Buffer #overflow


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.