O Comando Cibernético dos EUA Adverte que Hackers Estrangeiros Provavelmente Exploram um Bug de Segurança do PAN-OS

Por Nizel em Computer Security

Traduzir Para:

O Comando Cibernético dos EUA mencionou que autores de ameaças estrangeiros patrocinados pelo Estado provavelmente estão explorarão um grande bug de segurança descoberto no PAN-OS, o sistema operacional em execução em dispositivos VPN e firewalls da Palo Alto Networks. A agência alertou que todos os dispositivos afetados pelo CVE-2020-2012 precisam ser corrigidos, especialmente se o SAML estiver em uso. Eles também mencionaram que APTs estrangeiros provavelmente tentariam explorar as vulnerabilidades em breve.

Os funcionários do Comando Cibernético dos EUA estavam no caminho certo, pois a vulnerabilidade CVE-2020-2021 é um bug raro, com uma pontuação perfeita de 10/10 no Common Vulnerability Scoring System (CVSS), uma estrutura para classificar a gravidade das vulnerabilidades de segurança no software .
Uma pontuação de 10/10 significa que a vulnerabilidade é fácil de explorar e não requer conhecimentos ou habilidades avançadas; é explorável por controle remoto, sem precisar de uma intrusão inicial para ter sucesso. No lado técnico, o bug permite que os hackers alterem as configurações e os recursos do PAN-OS. A alteração dessas configurações pode permitir que os invasores acessem o dispositivo sem credenciais, pois podem desativar firewalls ou políticas de controle de acesso VPN.

Índice

O PAN-OS Deve ser Mantido em uma Configuração Específica

Um aviso de segurança da Palo Alto Networks foi publicado, avisando que os fatores atenuantes incluem que os dispositivos PAN-OS precisam estar em uma configuração específica para que o bug possa ser explorado pelos invasores. Os engenheiros da Palo Alto Networks mencionaram que o bug só pode ser explorado se o Certificado de Provedor de Identidade Validar estiver desabilitado, juntamente com a SAML (Security Assertion Markup Language). Os dispositivos que suportam essas duas opções vulneráveis a ataques incluem o GlobalProtect Portal, GlobalProtect Gateway, GlobalProtectClientless VPN, Authentication and Captive Portal, Prisma Access Systems, firewalls de geração PAN-OS, como as séries PE e VM, bem como Panorama interfaces da web. As duas configurações não estão na posição vulnerável por padrão, portanto, elas exigem que a intervenção direta do usuário esteja nessa configuração. Isso significa que nem todos os dispositivos PAN-OS estarão suscetíveis ao problema desde o início.

Alguns Dispositivos Podem estar Configurados para serem Vulneráveis

De acordo com o CERT/CC, vários manuais de fornecedores instruem os proprietários do PAN-OS a definir essa configuração exata ao usar provedores de identidade de terceiros, como autenticação Duo em dispositivos PAN-OS ou soluções de terceiros como Okta, Trusona e Centrify. Isso significa que a vulnerabilidade pode parecer inofensiva devido às etapas complicadas necessárias; provavelmente há muitos dispositivos configurados nesse estado vulnerável, principalmente devido à disseminação da autenticação Duo nos setores privado e governamental. O número de sistemas vulneráveis foi estimado em cerca de 4200, no máximo, de acordo com a Bad Packets, uma empresa de varredura na Internet e informações sobre ameaças. Os proprietários de dispositivos PAN-OS devem revisar suas configurações e aplicar os patches lançados pela Palo Alto Networks se seus dispositivos estiverem vulneráveis a explorações.