Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
1-07-2020, 12:00
Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости»
Рейтинг:
Категория: Новости

Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks.


Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве.


С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными.


Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен.




Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят:


  • GlobalProtect Gateway;

  • GlobalProtect Portal;

  • GlobalProtect Clientless VPN;

  • Authentication and Captive Portal;

  • PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama;

  • Системы Prisma Access.

К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется ­настраивать именно такую конфигурацию. К примеру, при использовании аутентификации Duo или сторонних решений от Centrify, Trusona и Okta­.


В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах.


По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200.


«Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate.


В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks.


Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости»
Уязвимые версии PAN-OS

Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks. Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве. С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными. Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен. Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят: GlobalProtect Gateway; GlobalProtect Portal; GlobalProtect Clientless VPN; Authentication and Captive Portal; PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama; Системы Prisma Access. К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется ­настраивать именно такую конфигурацию. К примеру, при использовании аутентификации Duo или сторонних решений от Centrify, Trusona и Okta­. В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах. По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200. «Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate. В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks. Уязвимые версии PAN-OS

Теги: CSS

Просмотров: 396
Комментариев: 0:   1-07-2020, 12:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: