В PAN-OS исправлена чрезвычайно опасная уязвимость

В PAN-OS исправлена чрезвычайно опасная уязвимость

Уязвимость позволяет удаленно отключать межсетевые экраны Palo Alto Networks.

image

Во вторник, 30 июня, Кибернетическое командование США предупредило о том, что иностранные хакеры, скорее всего, попытаются эксплуатировать раскрытую в этот же день уязвимость в PAN-OS.

PAN-OS представляет собой операционную систему для межсетевых экранов и корпоративных VPN-установок от компании Palo Alto Networks.

«Пожалуйста, немедленно установите исправления на все устройства, затронутые CVE-2020-2021, в особенности, если используется SAML», - сообщило Киберкомандование в своем Twitter. Как считают в Киберкомандовании, уже скоро ATP-группы начнут атаки с использованием данной уязвимости.

Опасения американских властей небеспочвенны. CVE-2020-2021 – тот редкий случай, когда опасность уязвимости была оценена в 10 баллов из 10 по шкале CVSSv3. Другими словами, ее может легко проэксплуатировать даже малоопытный хакер, причем удаленно через интернет, без необходимости сначала проникать в атакуемое устройство.

Проблема представляет собой уязвимость обхода аутентификации, позволяющую злоумышленнику получить доступ к устройству без ввода действительных учетных данных. Проэксплуатировав ее, атакующий может менять настройки и функции PAN-OS. Хотя изменение функций ОС кажется безобидным и незначительным, на самом деле уязвимость является серьезной угрозой, поскольку ее можно использовать для отключения межсетевых экранов и политик контроля доступа VPN.

По словам специалистов Palo Alto Networks, уязвимость можно проэксплуатировать, только если отключена опция Validate Identity Provider Certificate и используется язык разметки SAML.

По умолчанию опция Validate Identity Provider Certificate включена, а SAML отключен, поэтому, если настройки не были изменены вручную, злоумышленники не смогут воспользоваться уязвимостью. Тем не менее, в некоторых инструкциях производитель сам рекомендует отключить опцию и включить SAML, если на устройстве используются сторонние провайдеры идентификации.

Проблема затрагивает следующие устройства Palo Alto Networks:

  • GlobalProtect Gateway;

  • GlobalProtect Portal;

  • GlobalProtect Clientless VPN;

  • Authentication and Captive Portal;

  • Межсетевые экраны следующего поколения PA-Series и VM-Series, web-интерфейсы Panorama;

  • Системы Prisma Access.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.