30 Jun 2020

Allvarlig säkerhetsbugg i PAN-OS (CVE-2020-2021 – ”A RARE 10/10 VULNERABILITY”)

(Denna information är kritisk för er som använder Palo Alto, men även ni som använder andra lösningar rekommenderas att kontrollera era uppsättningar)

Palo Alto informerade allmänheten igår om en allvarlig säkerhetsbugg som tillåter hackare att kringgå autentisering kopplat till deras brandväggar samt VPN produkter.

Vad innebär 10/10 för en CVE-publicerad sårbarhet?

En 10/10 bedömning på CVSSv3 skalan betyder att sårbarheten är enkel att utnyttja och kräver ingen avancerad teknisk kompetens eller förmåga.

Det betyder också att sårbarheten är möjlig att utnyttja via internet utan att angriparna behöver ett initialt fotfäste på enheten i fråga.

Sammanfattningsvis innebär det att denna sårbarhet är en så kallad ”Authentication Bypass” vilket tillåter hotaktörer att komma åt enheten utan att behöva ange giltiga credentials.

Påverkan

Sårbara produkter vid tidpunkt för denna publicering:

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication and Captive Portal
  • PA samt VM serie av brandväggar
  • Panorama web interface
  • Prisma Access

Gemensamt för dessa är att de använder PAN OS i botten.

Berörda versioner av PAN OS är:

  • 9.1 serien, löst i 9.1.3.
  • 9.0 serien, löst i 9.0.9.
  • 8.1 serien, löst i 8.1.15.
  • 8.0 serien har ingen publicerad lösning.

Tekniskt innebär detta att SAML behövs konfigurationsmässigt användas i enheterna från Palo Alto, och vissa certifikat-inställningar inte används (att validera identitetsprovider är inte påslaget), bedömt som en vanlig inställning.

SAML är för många en föredragen teknologi att använda för central konto-kontroll (authentication, authorization).

The United States Cyber Command (USCYBERCOM), ett amerikanskt militärt förband sorterat under Förenta staternas strategiska kommando (USSTRATCOM) varnar för att statligt sponsrade hacking-grupper med största sannolikhet kommer utnyttja säkerhetshålet med så kallade ”APT - Advanced Persistent Threats”.

Workaround

Föreslagen workaround är att ej använda SAML alternativt använda certifikatverifieringen.

Lösning

Patchar är släppta och omedelbar uppgradering är starkt rekommenderat.

”.. Patcha omedelbart samtliga enheter som påverkas av CVE-2020-2021. Särskilt om SAML [Security Assertion Markup Language] används ..” meddelar USCYBERCOM via Twitter tidigare idag.

CVE-2020-2021 sårbarheten bedöms som 10/10 i allvarlighetsgrad på CVSSv3 skalan. Det är både sällsynt och ovanligt att säkerhetsbuggar bedöms så pass högt.

 

 

Källa:

https://security.paloaltonetworks.com/CVE-2020-2021

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2021

IT-Total Security Operations Center

Skriven av IT-Total Security Operations Center

IT-Total SOC övervakar det globala hotlandskapet och levererar hanterad hotdetektering 24/7/365. Vi skyddar organisationers affärskritiska tillgångar mot cyberattacker genom snabb respons, analyser och åtgärder. IT-Total SOC består av seniora analytiker som arbetar med omvärldsbevakning och manuella analyser. Vi använder även av ett flertal beprövade tekniska verktyg, både statiska och dynamiska.

CVE-2020-16898 Windows ICMPv6 RDNSS Remote Code Execution Vulnerabilitiy

En sårbarhet har noterats i Windows 10 samt windows Server 2019 kopplat till implementationen av ICMPv6 RDNSS. Felet ligger i WindowsTCP/IP stack, som…

"Microsoft Patch Tuesday" Oktober 2020

Microsoft har släppt månadens patchar, däribland patchar för .Net, WindowsCodecs samt Exchange. Flera av patcharna löser information disclosure i…

Flera sårbarheter, HP Device Manager

Flera sårbarheter relaterade till HP Device Manager har publicerats. Vissa berör samtliga versioner av mjukvaran, andra specifika. CVE-2020-6926 har…

Prenumerera på Security Alert-bloggen: