Los opositores extranjeros que probablemente explotarán un error de red crítico, dicen los Estados Unidos


  Los opositores extranjeros que probablemente explotarán un error de red crítico, dicen los Estados Unidos.

Es probable que los piratas informáticos extranjeros respaldados por un gobierno bien equipado aprovechen una vulnerabilidad crítica en un host. El gobierno de Estados Unidos advirtió el martes.

En el peor de los casos, el proveedor de seguridad dijo en una publicación que el error permitiría a personas no autorizadas iniciar sesión en la red como administradores. Con estos privilegios, los atacantes pueden instalar el software de su elección o realizar otras acciones maliciosas que tienen graves consecuencias. La vulnerabilidad rastreada como CVE-2020-2021 puede explotarse si se utiliza un mecanismo de autenticación llamado Lenguaje de marcado de aserción de seguridad para verificar que los usuarios tengan los privilegios correctos para acceder a una red. Los atacantes también deben tener acceso a Internet a un servidor afectado.

Poco después de que Palo Alto Networks publicara el aviso, la cuenta oficial de Twitter de la Agencia de los Estados Unidos para la Ciberseguridad y la Seguridad de la Infraestructura advirtió que la APT podría explotar la vulnerabilidad en la naturaleza. Abreviatura de Amenazas persistentes avanzadas. APT es el término utilizado por muchos investigadores para los grupos sofisticados de piratas informáticos que intentan dañar objetivos seleccionados de interés durante un largo período de tiempo.

"Por favor, aplique parches a todos los dispositivos afectados por CVE-2020-2021 inmediatamente, especialmente si se utiliza SAML". La agencia advirtió en Twitter . “Las APT extranjeras probablemente tratarán de aprovecharlas pronto. Nos complace que @PaloAltoNtwks haya respondido proactivamente a esta vulnerabilidad. “

Gravedad máxima

La ​​vulnerabilidad solo puede explotarse si la autenticación está habilitada y la opción de verificar el certificado del proveedor de identidad está deshabilitada. En este caso, los productos afectados de Palo Networks no pueden verificar las firmas correctamente. El error es el resultado de errores en PAN-OS SAML. Las versiones vulnerables son PAN-OS 9.1, PAN-OS 9.0 anterior a 9.0.9, PAN-OS 8.1 versiones anteriores a PAN-OS 8.1.15 y todas las versiones de PAN-OS 8.0. PAN-OS 7.1 no se ve afectado.

Los administradores generalmente necesitan proporcionar una contraseña y un segundo factor de autenticación, p. B. una contraseña temporal que se genera durante la operación. Las vulnerabilidades podrían permitir a los atacantes eludir esta solicitud para el mismo acceso y control. La declaración de Palo Alto Networks decía:

En el caso de GlobalProtect Gateways, GlobalProtect Portal, Clientless VPN, Captive Portal y Prisma Access, un atacante no autenticado con acceso de red al servidor afectado puede obtener acceso a recursos protegidos si la configuración lo permite es la autenticación y la política de seguridad. No hay impacto en la integridad y disponibilidad de la puerta de enlace, portal o servidor VPN. Un atacante no puede revisar o manipular sesiones de usuario regulares. En el peor de los casos, es una vulnerabilidad de gravedad crítica con un valor base de CVSS de 10.0 (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H. /A:N).[19659003weiblBeiPAN-OS-undPanorama-WebschnittstellenkannsicheinnichtauthentifizierterAngreifermitNetzwerkzugriffaufdiePAN-OS-oderPanorama-WebschnittstellenalsAdministratoranmeldenundVerwaltungsaktionenausführenImschlimmstenFallhandeltessichumeineSicherheitsanfälligkeitmitkritischemSchweregradundeinemCVSS-Basiswertvon100(CVSS:31/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)SisolosepuedeaccederalasinterfaceswebconunareddeadministraciónrestringidaelproblemasereduceaunvalorbaseCVSSde96(CVSS:31/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

La compañía lanzó un artículo de base de conocimiento que explica cómo buscar configuraciones vulnerables y, si se encuentra, tomar ciertas medidas para resolverlas. Las correcciones están disponibles en PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 y todas las versiones posteriores.

Para verificar que un firewall vulnerable esté utilizando la autenticación SAML, los administradores pueden verificar Dispositivo> Perfil del servidor> Proveedor de identidad SAML. Para el administrador de Panorama de Palo Alto Networks, los administradores deben ver la configuración en Panorama> Perfiles de servidor> Proveedor de identidad SAML. Para verificar si la autenticación SAML está habilitada para los firewalls administrados por Panorama, debe verificar Dispositivo> [plantilla]> Perfiles del servidor> Proveedor de identidad SAML. Cualquier acceso no autorizado se documenta en los registros del sistema.

La alerta CISA se basa en la vulnerabilidad, que tiene una puntuación máxima de 10 en la escala de gravedad CSSv3. Los investigadores reservan el puntaje para vulnerabilidades de seguridad que son fáciles de explotar y requieren relativamente poco pirateo. La puntuación alta también se usa cuando hay mucho en juego, por ejemplo, en los casos en que se puede eludir la seguridad central y los ataques se pueden llevar a cabo de forma remota, p. B. en Internet.

Al actualizar los dispositivos afectados, los usuarios deben asegurarse de que se produzca la firma. Según Palo Alto, el certificado del proveedor de identidad SAML se configura como el "certificado del proveedor de identidad" antes de la actualización para garantizar que los usuarios del dispositivo continúen autenticándose con éxito lata.

Palo Alto Networks dijo que no había usado activamente evidencia del error. Es probable que siga la recomendación del martes, que explica los conceptos básicos del error, y la evaluación de las vulnerabilidades en la naturaleza. Esto significa que los administradores tienen opciones limitadas para asegurar sus sistemas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *