Категория > Новости > Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости»

Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости»


1-07-2020, 12:00. Автор: Дмитрий

Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks.


Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве.


С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными.


Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен.




Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят:


  • GlobalProtect Gateway;

  • GlobalProtect Portal;

  • GlobalProtect Clientless VPN;

  • Authentication and Captive Portal;

  • PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama;

  • Системы Prisma Access.

К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется ­настраивать именно такую конфигурацию. К примеру, при использовании аутентификации Duo или сторонних решений от Centrify, Trusona и Okta­.


В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах.


По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200.


«Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate.


В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks.


Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость - «Новости»
Уязвимые версии PAN-OS

Перейти обратно к новости