# Palo Alto Networks > Security vendor · Sede: Santa Clara, EUA · Presença LATAM: Sim ## Mapa de Risco - Produtos, CVEs e Atores ```mermaid graph TB PAN["Palo Alto Networks"] --> PANOS["PAN-OS"] PAN --> GP["GlobalProtect"] PAN --> XDR["Cortex XDR"] PAN --> PRISMA["Prisma Cloud"] PAN --> PANORAMA["Panorama"] PANOS --> CVE1["CVE-2024-3400<br/>CVSS 10.0"] PANOS --> CVE2["CVE-2024-0012<br/>CVSS 9.8"] GP -.->|vetor de ataque| CVE1 PANORAMA -.->|afetado| CVE2 CVE1 --> UTA["UTA0218"] CVE2 --> UTA PANOS -.->|alvo| VOLT["Volt Typhoon"] PANOS -.->|alvo| APT29["APT29"] classDef vendor fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef product fill:#2c3e50,color:#fff,stroke:#34495e classDef cve fill:#5a1a1a,color:#fff,stroke:#e74c3c classDef actor fill:#4a3a1a,color:#fff,stroke:#f39c12 class PAN vendor class PANOS,GP,XDR,PRISMA,PANORAMA product class CVE1,CVE2 cve class UTA,VOLT,APT29 actor ``` ## Visão Geral **Palo Alto Networks** é uma das maiores empresas de cibersegurança do mundo, especializada em firewalls de próxima geração (NGFW), soluções de segurança em nuvem e plataformas de detecção e resposta. A empresa atende dezenas de milhares de clientes globalmente, incluindo uma parcela significativa das empresas Fortune 100 e Global 2000. Em 2024, a receita global ultrapassou US$ 8 bilhões, com as Américas representando aproximadamente US$ 5,5 bilhões. **Dados do vendor:** - Tipo: Security vendor - líder em NGFW e segurança de rede - Sede: Santa Clara, Califórnia, EUA - Website: https://www.paloaltonetworks.com - Presença no Brasil/LATAM: Sim - escritórios em São Paulo e Cidade do México, com operações em Argentina, Chile, Colômbia e Peru - Principais setores atendidos: [[financial]], [[government]], [[telecommunications|telecomúnicações]], [[healthcare|saúde]], [[energy]] ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | CVEs | Relevância CTI | |---------|-----------|------|---------------| | [[pan-os\|PAN-OS]] | os | 2 | [[cve-2024-3400\|CVE-2024-3400]] (10.0), [[cve-2024-0012\|CVE-2024-0012]] (9.8) | | [[globalprotect\|GlobalProtect]] | vpn | 1 | Vetor de ataque na [[cve-2024-3400\|CVE-2024-3400]] | | [[cortex-xdr\|Cortex XDR]] | edr | 0 | Plataforma de defesa - sem CVEs catalogadas | | [[prisma-cloud\|Prisma Cloud]] | cloud | 0 | Não afetado pelas CVEs do PAN-OS | | [[panorama\|Panorama]] | management | 1 | Afetado pela [[cve-2024-0012\|CVE-2024-0012]] | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" FROM "vendors/palo-alto-networks" WHERE type = "product" SORT length(cves-affecting) DESC ``` %% ## Timeline de Vulnerabilidades <!-- Static table for Obsidian Publish --> | CVE | CVSS | Produto | Exploração | Data | |-----|------|---------|------------|------| | [[cve-2024-0012\|CVE-2024-0012]] | 9.8 | [[pan-os\|PAN-OS]] | Ativa - PoC público, encadeada com CVE-2024-9474 | 2024-11-18 | | [[cve-2024-3400\|CVE-2024-3400]] | 10.0 | [[pan-os\|PAN-OS]] | Ativa - zero-day, PoC público | 2024-04-14 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", product AS "Produto", exploit-type AS "Exploração" FROM "vulnerabilities" WHERE contains(vendor, "Palo Alto Networks") SORT patch-date DESC ``` %% A [[cve-2024-3400|CVE-2024-3400]] permitiu injeção de comando no recurso GlobalProtect com execução como root, recebendo a pontuação máxima CVSS 10.0. Foi explorada como zero-day pelo grupo [[uta0218]] na campanha [[operation-midnighteclipse|Operation MidnightEclipse]]. A [[cve-2024-0012|CVE-2024-0012]] permitiu bypass de autenticação na interface de gerenciamento via header `X-PAN-AUTHCHECK: off`, frequentemente encadeada com [[cve-2024-9474|CVE-2024-9474]] para obter RCE completo. ## Uso por Atores de Ameaça Produtos Palo Alto Networks são alvejados por: - [[uta0218]] - explorou [[cve-2024-3400|CVE-2024-3400]] na campanha [[operation-midnighteclipse|Operation MidnightEclipse]] e [[cve-2024-0012|CVE-2024-0012]] na [[ir-pan-os-exploitation]] - [[g1017-volt-typhoon|Volt Typhoon]] - grupo APT chinês com histórico de exploração de appliances de rede, incluindo dispositivos Fortinet e Palo Alto - [[g0016-apt29|APT29]] - grupo russo com capacidade de explorar vulnerabilidades em appliances de segurança de rede As técnicas mais utilizadas contra produtos Palo Alto incluem [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] e [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]. ## Presença LATAM/Brasil A Palo Alto Networks expandiu significativamente sua presença na América Latina, com escritórios em São Paulo (Brasil) e Cidade do México (México), além de operações de vendas, suporte e treinamento em Argentina, Chile, Colômbia e Peru. No Brasil, os firewalls PAN-OS são amplamente adotados em grandes organizações dos setores [[financial]], [[government]] e [[telecommunications|telecomúnicações]]. Bancos brasileiros de grande porte, órgãos governamentais federais e provedores de telecomúnicações utilizam extensivamente a plataforma Palo Alto para segurança de perímetro e acesso remoto via GlobalProtect. **Setores com maior adoção no Brasil:** - [[financial]] - grandes bancos e instituições financeiras utilizam PAN-OS como firewall principal - [[government]] - órgãos federais e estaduais com requisitos de segurança elevados - [[telecommunications|telecomúnicações]] - provedores de telecomúnicações e data centers **Risco LATAM:** A ampla base instalada no Brasil torna as vulnerabilidades do PAN-OS particularmente relevantes para o contexto regional. A disponibilidade de PoCs públicos para [[cve-2024-3400|CVE-2024-3400]] e [[cve-2024-0012|CVE-2024-0012]] eleva o risco de exploração em organizações brasileiras com ciclos de patching mais longos. ## Advisories e Recursos - [Palo Alto Networks Security Advisories](https://security.paloaltonetworks.com/) - [Unit 42 Threat Research](https://unit42.paloaltonetworks.com/) - [Palo Alto Networks PSIRT](https://security.paloaltonetworks.com/security-advisories) ## Notas Relacionadas **CVEs:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2024-0012|CVE-2024-0012]] · [[cve-2024-9474|CVE-2024-9474]] **Campanhas:** [[operation-midnighteclipse|Operation MidnightEclipse]] · [[ir-pan-os-exploitation]] **Atores:** [[uta0218]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0016-apt29|APT29]] **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]