ISGroup Consultoría de Ciberseguridad

Vulnerabilidad de Ejecución Remota de Código en la herramienta Expedition de Palo Alto Networks (CVE-2025-0107)

CVE-2025-0107 es una vulnerabilidad crítica en la herramienta de migración Expedition de Palo Alto Networks (versión 1.2.101 y anteriores). La herramienta, ampliamente utilizada para respaldar migraciones hacia la plataforma NGFW de Palo Alto Networks, alcanzó su fin de vida útil (End-of-Life, EoL) el 31 de diciembre de 2024. A pesar de haber sido diseñada para un uso temporal, muchas organizaciones siguen confiando en Expedition en entornos de producción, lo que aumenta la exposición al riesgo de explotación.

La vulnerabilidad ha atraído una atención considerable tras la divulgación pública de los detalles técnicos y de un exploit de prueba de concepto (PoC) por parte de un investigador de seguridad en colaboración con SSD Secure Disclosure. Esta divulgación sensibiliza al público, pero también incrementa el riesgo de explotación activa por parte de actores maliciosos.

ProductoExpedition Project
Fecha2025-01-21 09:35:16
Información
  • En tendencia
  • Corrección disponible

Resumen técnico

CVE-2025-0107 es una vulnerabilidad de ejecución remota de código causada por una validación inadecuada en el endpoint /API/regionsDiscovery.php. Este fallo permite a atacantes no autenticados manipular la aplicación Expedition para que se conecte a un servidor Apache Spark controlado por el atacante. El servidor malicioso puede proporcionar un paquete Java especialmente diseñado como respuesta, el cual es ejecutado por el servidor Expedition vulnerable sin una verificación adecuada.

Si se explota, esta vulnerabilidad permite al atacante ejecutar código arbitrario en el servidor Expedition. El problema deriva de medidas de seguridad insuficientes en la gestión de conexiones externas y en el procesamiento de paquetes Java. La disponibilidad de un código exploit PoC aumenta notablemente la probabilidad de explotación.

Recomendaciones

  1. Desactivar Expedition: Acelerar la eliminación de Expedition de todos los entornos, ya que ha alcanzado su EoL y ya no recibe actualizaciones de seguridad.
  2. Limitar el acceso: Aislar inmediatamente cualquier sistema Expedition que aún esté presente, limitando el acceso a la red y bloqueando las comunicaciones externas.
  3. Cambiar a herramientas compatibles: Utilizar herramientas de migración compatibles o alternativas recomendadas por Palo Alto Networks.
  4. Actualización de políticas: Implementar una política clara de obsolescencia para el software EoL, con el fin de prevenir el uso continuado de herramientas no compatibles en entornos de producción.

[Callforaction-THREAT-Footer]

In