Palo Alto Networks ha revelado una vulnerabilidad de seguridad crítica en su aplicación VPN GlobalProtect que permite a los usuarios autenticados localmente escalar sus privilegios al acceso raíz en los sistemas macOS y Linux, o la autoridad NT \ System en las máquinas de Windows.
La vulnerabilidad, clasificada como una falla de asignación de privilegio incorrecta, plantea riesgos de seguridad significativos para las organizaciones que dependen de la solución VPN empresarial popular.
La falla de seguridad afecta a múltiples versiones de la aplicación GlobalProtect en las plataformas Windows, MacOS y Linux, lo que permite a los usuarios no administrativos que ya tienen acceso local a un sistema para obtener un control administrativo completo.
Este tipo de ataque de escalada de privilegios podría permitir a los actores maliciosos instalar software, modificar las configuraciones del sistema, acceder a datos confidenciales o establecer puertas traseras persistentes en sistemas comprometidos.
Palo Alto Networks GlobalProtect Vulnerabilidad
A la vulnerabilidad se le ha asignado una puntuación CVSS de 5.7 bajo el sistema de puntuación temporal base y 8.4 bajo el sistema de puntuación base, lo que indica un nivel de gravedad media con urgencia moderada para la remediación.
Palo Alto Networks Categoriza esto Como una debilidad de la ruta de búsqueda no confiable de CWE-426, que generalmente involucra aplicaciones de carga de recursos de ubicaciones inseguras que los atacantes pueden manipular.
En particular, las aplicaciones GlobalProtect sobre iOS, Android, Chrome OS y la aplicación GlobalProtect UWP no se ven afectadas por esta vulnerabilidad. La compañía enfatiza que no se requiere una configuración especial para que los sistemas sean vulnerables, lo que significa que todas las instalaciones predeterminadas de las versiones afectadas están en riesgo.
La vulnerabilidad impacta varias versiones importantes de GlobalProtect. Para los usuarios de la versión 6.3 en MacOS y Windows, los sistemas que ejecutan versiones antes de 6.3.3-H1 (6.3.3-C650) son vulnerables y deben actualizarse de inmediato. Los usuarios de la versión 6.2 en MacOS y Windows deben actualizarse a 6.2.8-H2 (6.2.8-C243) o más tarde, mientras que los usuarios de Linux deben actualizarse a la versión 6.2.8 o posterior, y se espera que la solución esté disponible antes del 11 de julio de 2025.
Todas las instalaciones de las versiones GlobalProtect 6.1 y 6.0 en las plataformas MacOS, Windows y Linux se ven afectadas y requieren actualizaciones inmediatas para las últimas versiones parchadas. La compañía proporciona rutas de actualización específicas para cada combinación de plataforma y versión.
Palo Alto Networks establece explícitamente que no hay soluciones ni mitigaciones disponibles para esta vulnerabilidad, lo que hace que las actualizaciones de software inmediatas sea la única solución viable.
La compañía no informa la explotación maliciosa de este problema en la naturaleza, pero las organizaciones deben priorizar los esfuerzos de parcheo dado el potencial de ataques de escalada de privilegios.
La vulnerabilidad fue descubierta e informada por los investigadores de seguridad Alex Bourla y Graham Brereton, a quienes Palo Alto Networks ha reconocido por su divulgación responsable.
Las organizaciones que usan GlobalProtect deben implementar las actualizaciones recomendadas lo antes posible para mantener su postura de seguridad.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
