Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks.
Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве.
С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными.
Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен.
Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят:
К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется настраивать именно такую конфигурацию. К примеру, при использовании аутентификации
В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах.
По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200.
«Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate.
В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks.
Источник:
Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве.
С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными.
Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен.
Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят:
- GlobalProtect Gateway;
- GlobalProtect Portal;
- GlobalProtect Clientless VPN;
- Authentication and Captive Portal;
- PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama;
- Системы Prisma Access.
К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется настраивать именно такую конфигурацию. К примеру, при использовании аутентификации
You must be registered for see links
или сторонних решений от
You must be registered for see links
.В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах.
По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200.
«Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate.
В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks.
Источник:
You must be registered for see links