Una
vulnerabilidad recientemente descubierta en el software PAN-OS de Palo Alto
Networks permite a atacantes remotos forzar el reinicio de los firewalls
simplemente enviando un paquete malicioso. La compañía confirmó el problema y
advirtió que la falla podría interrumpir las operaciones de red de las
organizaciones que utilizan sus sistemas de seguridad.
La vulnerabilidad, identificada como
CVE-2025-4619, está relacionada con el manejo inadecuado de condiciones inusuales o
excepcionales en el plano de datos de PAN-OS.
No requiere autenticación, credenciales ni interacción del usuario. Si
se explota,
el paquete malicioso puede provocar un reinicio inesperado del firewall.
Los equipos de seguridad están especialmente preocupados porque
los intentos de ataque repetidos pueden llevar a los dispositivos afectados
al modo de mantenimiento. Esto puede interrumpir gravemente la disponibilidad de la red y dejar a las
organizaciones expuestas mientras los firewalls permanecen fuera de línea.
La compañía calificó la vulnerabilidad como de gravedad media con urgencia
moderada. Sin embargo, debe considerarse actualizar debido al impacto
potencial en el negocio y al hecho de que el ataque se basa en la red y tiene
baja complejidad.
La falla afecta directamente la disponibilidad del producto, lo que la
convierte en un grave riesgo operativo.
El problema afecta a los firewalls de la serie PA, los firewalls de la serie
VM y las implementaciones de Prisma Access que ejecutan ciertas versiones de
PAN OS. Cloud NGFW no se ve afectado. Las versiones vulnerables
incluyen PAN OS 10.2 a 10.2.13, 11.1 a 11.1.6 y 11.2 a 11.2.4. PAN OS 12.1 y
10.1 no se ven afectadas.
La explotación de la vulnerabilidad depende de la configuración específica del
firewall. El dispositivo debe tener habilitado un proxy URL o una política de
descifrado. Incluso los sistemas con políticas explícitas de no descifrado
pueden estar en riesgo.
Palo Alto Networks recomienda a los usuarios actualizar a las versiones
parcheadas.
Los usuarios de PAN OS 11.2 deben actualizar a la versión 11.2.5 o posterior.
Los usuarios de PAN OS 11.1 deben actualizar a la versión 11.1.7. Se
recomienda a los usuarios de PAN OS 10.2 instalar la versión 10.2.14 o seguir
la recomendación de urgencia según su compilación actual. Por el momento,
no existen soluciones alternativas.
Si bien Palo Alto Networks afirma no haber detectado ninguna explotación
activa de la vulnerabilidad,
se insta a los administradores a priorizar las actualizaciones debido a la
simplicidad del ataque y su posible impacto en la infraestructura de red
crítica.
Fuente:
TheMainStream