Киберкомандование США предупредило, что в PAN-OS обнаружена опасная уязвимость

Киберкомандование США предупредило, что в скором времени правительственные хак-группы, вероятно, начнут использовать уязвимость CVE-2020-2021, обнаруженную в PAN-OS, операционной системе, работающей на брандмауэрах и корпоративных VPN-устройствах производства Palo Alto Networks.

Повод для беспокойства действительно серьезный: уязвимость CVE-2020-2021 является одной из тех редких ошибок, которые получают 10 из 10 баллов по шкале оценки уязвимостей CVSSv3. Такой балл означает, что уязвимость проста в использовании, ее эксплуатация не требует серьезных технических знаний, а также ее можно использовать удаленно через интернет, причем у злоумышленников может не быть никакой «точки опоры» на целевом устройстве.

С технической точки зрения уязвимость представляет собой обход аутентификации и позволяет постороннему получить доступ к устройству без предоставления учетных данных. После успешной эксплуатации проблемы атакующий может изменять настройки PAN-OS. По сути, это может использоваться для отключения политики контроля доступа в брандмауэрах и VPN-решениях компании, после чего устройства станут практически бесполезными.

Специалисты Palo Alto Networks уже подготовили собственный бюллетень безопасности, где рассказывают, что для успешной эксплуатации проблемы необходимо соблюсти ряд условий. В частности, PAN-OS устройства должны иметь определенную конфигурацию, чтобы ошибку можно было использовать. Так, опция Validate Identity Provider Certificate должна быть отключена, а SAML (Security Assertion Markup Language) наоборот включен.

Устройства, которые могут быть сконфигурированы таким образом, уязвимы для атак. В их число входят:

  • GlobalProtect Gateway;
  • GlobalProtect Portal;
  • GlobalProtect Clientless VPN;
  • Authentication and Captive Portal;
  • PAN-OS брандмауэры (серии PA и VM) и веб-интерфейсы Panorama;
  • Системы Prisma Access.

К счастью, по умолчанию вышеописанные настройки установлены на другие значения. Однако эксперт CERT/CC Уилл Дорман предупреждает, что в случае использования сторонних поставщиков идентификации во многих руководствах для операторов PAN-OS рекомендуется ­настраивать именно такую конфигурацию. К примеру, при использовании аутентификации Duo или сторонних решений от Centrify, Trusona и Okta­.

В итоге, невзирая на то, что на первый взгляд уязвимость выглядит не слишком опасной и требует соблюдения некоторых условий, на деле множество устройств настроены именно так, как описано выше, особенно в силу широкого использования Duo в корпоративном и государственном секторах.

По данным Троя Мурша (Troy Mursch), сооснователя компании Bad Packets, на данный момент количество уязвимых систем равно примерно 4200.

«Из 58 521 общедоступных серверов Palo Alto (PAN-OS), отсканированных Bad Packets, только 4 291 хост использует какую-либо разновидность аутентификации SAML», — пишет эксперт и уточняет, что проведенное его компанией сканирование помогло определить, включена ли аутентификация с использованием SAML, но таким способом нельзя узнать о статусе Validate Identity Provider Certificate.

В настоящее время ИБ-специалисты призывают всех владельцев устройств на базе PAN-OS немедленно проверить конфигурации своих девайсов и как можно скорее установить патчи, выпущенные Palo Alto Networks.

Уязвимые версии PAN-OS
Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы