در پی نقص بحرانی موجود در فایروال PAN-OS با شناسه "CVE-2020-2021" که به واسطه آن مهاجمان قادرند فرآیند احراز هویت را در این فایروال دور بزنند، شرکت Palo Alto اقدام به رفع این #آسیبپذیری کرده است. هنگامی که احراز هویت SAML فعال و قابلیت ‘Validate Identity Provider Certificate’ غیرفعال باشد، تأیید هویت نادرست در PAN-OS SAML، مهاجم را قادر میسازد تا به منابع شبکه دسترسی پیدا کند. گفتنی است که برای اکسپلویت این آسیبپذیری، مهاجم باید به سرور آسیبپذیر دسترسی داشته باشد.
آسیبپذیری مذکور دارای شدت بحرانی و CVSS 3.x base score of 10 بوده و کمپانی مربوطه اعلام کرده است که در صورت عدم استفاده از SAML در فرآیند احراز هویت و نیز غیر فعال بودن قابلیت Validate Identity Provider Certificate در SAML Identity Provider Server Profile، این آسیبپذیری اکسپلویت نخواهد شد. به گفته شرکت Palo Alto، در خصوصGlobalProtect Gateways, GlobalProtect Portal Clientless VPN, Prisma Access Prisma Access و Prisma Access، مهاجم غیرمجاز، با دسترسی شبکه به سرورهای تحت تاثیر این آسیبپذیری و درصورتیکه توسط احراز هویت پیکربندی شده و سیاستهای امنیتی، مجاز باشد میتواند به منابع محافظت شده شبکه دسترسی پیدا کند؛ همچنین این منابع میتوانند از طریق احراز هویت SAML-based single sign-on (SSO)، از خطر این آسیبپذیری به دور باشند.
در حملات صورت گرفته علیه PAN-OS و رابطهای وب Panorama، آسیبپذیری مذکور میتواند توسط یک مهاجم غیر مجاز با دسترسی شبکه به PAN-OS و رابطهای وب Panorama، اکسپلویت شود تا مهاجم به عنوان ادمین وارد سیستم شده و اقدامات مربوطه در حوزه اختیارات ادمین را انجام دهد که در بدترین حالت این آسیبپذیری دارای شدت بحرانی و CVSS 3.x base score of 10 میباشد، اما اگر رابطهای وب تنها به یک شبکه منحصربفرد دسترسی داشته باشند، رتبه این آسیبپذیری به CVSS Base Score of 9.6 کاهش خواهد یافت.
خبر خوب این است که شبکههای Palo Alto از حملات ناشی از اکسپلویت این آسیبپذیری اطلاعات موثقی دریافت و منتشر نکردهاند. وجود نام کاربری غیرمعمول و یا آدرسهای IP منبع در لاگها باید به عنوان زنگ خطری مورد توجه قرار گیرد. گفتنی است این آسیبپذیری توسط Salman Khan از تیم Cyber Risk and Resilience ، Cameron Duck و تیم سرویسهای Identity دانشگاه Monash گزارش شده است. به گفته یکی از محققان امنیتی، احتمالأ APTها به زودی سعی در اکسپلویت نقصِ Palo Alto Networks موجود در PAN-OS خواهند داشت.
آسیبپذیری مذکور بر روی PAN-OS 9.1 و نسخههای قبل از PAN-OS 9.1.3، PAN-OS 9.0 و نسخههای قبل از PAN-OS 9.0.9 و PAN-OS 8.1، نسخههای قبل از PAN-OS 8.1.15 و تمام نسخههای (PAN-OS 8.0 (EOL تأثیر میگذارد، گفتنی است که این آسیبپذیری بر روی PAN-OS 7.1 تأثیر نمیگذارد.
در حالت کلی مشتریان میتوانند موارد زیر را بررسی کنند تا مشخص شود که آیا تحت تاثیر آسیبپذیری قرار گرفتهاند یا خیر:
- لاگهای احراز هویت
- لاگهای User-ID
- ACC Network Activity Source/Destination Regions (Leveraging the Global Filter feature)
- Custom Reports (Monitor > Report)
- لاگهای GlobalProtect (در نسخه PAN-OS 9.1.0 و بالاتر)
اما با توجه به اهمیت این آسیبپذیری و نیز بالا بودن شدت آن، هرچه سریعتر نسبت به وصله دستگاههای تحتتأثیر این آسیبپذیری بخصوص اگر پروتکل SAML مورد استفاده قرار گرفته است، اقدام کنید.
منابع:
[1] https://securityaffairs.co/wordpress/105351/hacking/critical-flaw-firewall-pan-os.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-2021
[3] https://securityaffairs.co/wordpress/105388/hacking/pan-os-flaw-uscybercom.html
- 56