В PAN-OS исправлена чрезвычайно опасная уязвимость

Материал из Викиновостей, свободного источника новостей

30 июня 2020 года

Во вторник, 30 июня, Кибернетическое командование США предупредило о том, что иностранные хакеры, скорее всего, попытаются эксплуатировать раскрытую в этот же день уязвимость в PAN-OS.

PAN-OS представляет собой операционную систему для межсетевых экранов и корпоративных VPN-установок от компании Palo Alto Networks.

«Пожалуйста, немедленно установите исправления на все устройства, затронутые CVE-2020-2021, в особенности, если используется SAML», - сообщило Киберкомандование в своем Twitter. Как считают в Киберкомандовании, уже скоро ATP-группы начнут атаки с использованием данной уязвимости.

Опасения американских властей небеспочвенны. CVE-2020-2021 – тот редкий случай, когда опасность уязвимости была оценена в 10 баллов из 10 по шкале CVSSv3. Другими словами, ее может легко проэксплуатировать даже малоопытный хакер, причем удаленно через интернет, без необходимости сначала проникать в атакуемое устройство.

Проблема представляет собой уязвимость обхода аутентификации, позволяющую злоумышленнику получить доступ к устройству без ввода действительных учетных данных. Проэксплуатировав ее, атакующий может менять настройки и функции PAN-OS. Хотя изменение функций ОС кажется безобидным и незначительным, на самом деле уязвимость является серьезной угрозой, поскольку ее можно использовать для отключения межсетевых экранов и политик контроля доступа VPN.

По словам специалистов Palo Alto Networks, уязвимость можно проэксплуатировать, только если отключена опция Validate Identity Provider Certificate и используется язык разметки SAML.

По умолчанию опция Validate Identity Provider Certificate включена, а SAML отключен, поэтому, если настройки не были изменены вручную, злоумышленники не смогут воспользоваться уязвимостью. Тем не менее, в некоторых инструкциях производитель сам рекомендует отключить опцию и включить SAML, если на устройстве используются сторонние провайдеры идентификации.

Проблема затрагивает следующие устройства Palo Alto Networks:

GlobalProtect Gateway;

GlobalProtect Portal;

GlobalProtect Clientless VPN;

Authentication and Captive Portal;

Межсетевые экраны следующего поколения PA-Series и VM-Series, web-интерфейсы Panorama;

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.