CISA Señala Fallos de Palo Alto y SonicWall Como Explotados

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) agregó el martes dos vulnerabilidades de seguridad que afectan a los productos de Palo Alto Networks y SonicWall a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), advirtiendo a las organizaciones sobre la explotación activa por parte de actores maliciosos.

Las dos vulnerabilidades mencionadas a continuación, que se basan en evidencia de explotación activa, son vectores de ataque frecuentes para actores cibernéticos maliciosos, lo que representa riesgos significativos para las organizaciones. Estas son:

• CVE-2025-0108 (puntuación CVSS: 7.8) – Vulnerabilidad de Bypass de Autenticación de Palo Alto PAN-OS: Este fallo afecta al PAN-OS de Palo Alto Networks, el software que se ejecuta en sus cortafuegos de próxima generación. La vulnerabilidad permite a un atacante no autenticado eludir los mecanismos de autenticación y obtener acceso no autorizado a los recursos de la red. Explotar esta vulnerabilidad podría permitir a los actores de amenazas infiltrarse en sistemas sensibles, exfiltrar datos o desplegar más exploits dentro de una red comprometida.
• CVE-2024-53704 (puntuación CVSS: 8.2) – Vulnerabilidad de Autenticación Incorrecta de SonicWall SonicOS SSLVPN: Este fallo existe en la función SSLVPN de SonicOS de SonicWall, que se utiliza para el acceso remoto seguro. Los atacantes pueden explotar esta vulnerabilidad para eludir los procedimientos de autenticación, otorgando acceso no autorizado a redes protegidas por VPN. Esto permite a los atacantes interceptar mensajes, robar acceso a recursos internos y llevar a cabo ataques de escalada de privilegios, que son una amenaza masiva para la seguridad empresarial.

Palo Alto Networks ha confirmado la explotación activa de la vulnerabilidad CVE-2025-0108.

La empresa señala que ha observado intentos de explotación con otras vulnerabilidades, como CVE-2024-9474 y CVE-2025-0111.

“Palo Alto Networks ha observado intentos de explotación encadenando CVE-2025-0108 con CVE-2024-9474 y CVE-2025-0111 en interfaces de gestión web de PAN-OS no parcheadas y no aseguradas”, dijo la empresa en un aviso actualizado.

Según la firma de ciberseguridad GreyNoise, se han realizado 26 intentos de explotación activa hasta la fecha dirigidos a la vulnerabilidad de bypass de autenticación CVE-2025-0108. Este fallo ha afectado a los principales países: Estados Unidos, Francia, Alemania, Países Bajos y Brasil.

Por otro lado, Bishop Fox lanzó recientemente detalles técnicos y un exploit de prueba de concepto (PoC) para CVE-2024-53704, un bypass de autenticación de alta gravedad en SonicOS SSLVPN. Poco después de que se hiciera pública la PoC, Arctic Wolf detectó intentos de explotación en el entorno.

En respuesta a la explotación activa de estas vulnerabilidades, CISA ha ordenado a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB), de acuerdo con la Directiva Operativa Vinculante (BOD) 22-01 de noviembre de 2021, que apliquen los parches antes del 11 de marzo de 2025, para mitigar las vulnerabilidades identificadas y proteger sus redes contra amenazas potenciales.

Palo Alto Networks y SonicWall, dos de los principales gigantes de la seguridad de redes, han lanzado actualizaciones y avisos de seguridad para los usuarios afectados.

Las organizaciones que utilizan estos productos deben asegurarse de que ejecutan el firmware más reciente y seguir las mejores prácticas de ciberseguridad, incluyendo la monitorización de actividades inusuales en la red, restringir el acceso a fuentes de confianza e implementar estrategias de defensa en múltiples capas.