رفع آسیب‌پذیری دور زدن احراز هویت در فایروال PAN-OS
کد مطلب: 16793
تاریخ انتشار : دوشنبه ۱۶ تير ۱۳۹۹ ساعت ۱۴:۵۴
 
شرکت پالوآلتو نقص بحرانی در فایروال PAN-OS را که منجر به دور زدن فرایند احراز هویت در این فایروال می‌شود، برطرف کرد.
رفع آسیب‌پذیری دور زدن احراز هویت در فایروال PAN-OS
 
 
Share/Save/Bookmark
شرکت پالوآلتو نقص بحرانی در فایروال PAN-OS را که منجر به دور زدن فرایند احراز هویت در این فایروال می‌شود، برطرف کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی نقص بحرانی موجود در فایروال PAN-OS با شناسه CVE-۲۰۲۰-۲۰۲۱ که  مهاجمان به واسطه آن می‌توانند فرایند احراز هویت را در این فایروال دور بزنند، شرکت Palo Alto اقدام به رفع این ‫آسیب‌پذیری کرده است.

هنگامی که احراز هویت SAML فعال و قابلیت ‘Validate Identity Provider Certificate’ غیرفعال باشد، تأیید هویت نادرست در PAN-OS SAML، مهاجم را قادر می‌سازد تا به منابع شبکه دسترسی پیدا کند. گفتنی است که برای اکسپلویت این آسیب‌پذیری، مهاجم باید به سرور آسیب‌پذیر دسترسی داشته باشد.

آسیب‌پذیری مذکور دارای شدت بحرانی و CVSS ۳.x base score of ۱۰ بوده و کمپانی مربوطه اعلام کرده است که در صورت عدم استفاده از SAML در فرآیند احراز هویت و نیز غیر فعال بودن قابلیت Validate Identity Provider Certificate در SAML Identity Provider Server Profile، این آسیب‌پذیری اکسپلویت نخواهد شد. به گفته شرکت Palo Alto، در خصوصGlobalProtect Gateways, GlobalProtect Portal Clientless VPN, Prisma Access Prisma Access و Prisma Access، مهاجم غیرمجاز، با دسترسی شبکه‌ به سرورهای تحت تاثیر این آسیب‌پذیری و درصورتیکه توسط احراز هویت پیکربندی شده و سیاست‎‌های امنیتی، مجاز باشد می‌تواند به منابع محافظت شده شبکه دسترسی پیدا کند؛ همچنین این منابع می‌توانند از طریق احراز هویت SAML-based single sign-on (SSO)، از خطر این آسیب‌پذیری به دور باشند.

در حملات صورت گرفته علیه PAN-OS و رابط‌های وب Panorama، آسیب‌پذیری مذکور می‌تواند توسط یک مهاجم غیر مجاز با دسترسی شبکه به PAN-OS و رابط‌های وب Panorama، اکسپلویت شود تا مهاجم به عنوان ادمین وارد سیستم شده و اقدامات مربوطه در حوزه اختیارات ادمین را انجام دهد که در بدترین حالت این آسیب‌پذیری دارای شدت بحرانی و CVSS ۳.x base score of ۱۰ می‌باشد، اما اگر رابط‌های وب تنها به یک شبکه منحصربفرد دسترسی داشته باشند، رتبه این آسیب‌پذیری به CVSS Base Score of ۹.۶ کاهش خواهد یافت.

خبر خوب این است که شبکه‌های Palo Alto از حملات ناشی از اکسپلویت این آسیب‌پذیری اطلاعات موثقی دریافت و منتشر نکرده‌اند. وجود نام کاربری غیرمعمول و یا آدرس‌های IP منبع در لاگ‌ها باید به عنوان زنگ خطری مورد توجه قرار گیرد. گفتنی است این آسیب‌پذیری توسط Salman Khan از تیم Cyber Risk and Resilience ، Cameron Duck و تیم سرویس‌های Identity دانشگاه Monash گزارش شده است. به گفته یکی از محققان امنیتی، احتمالأ APTها به زودی سعی در اکسپلویت نقصِ Palo Alto Networks موجود در PAN-OS خواهند داشت.

آسیب‎پذیری مذکور بر روی PAN-OS ۹.۱ و نسخه‌های قبل از PAN-OS ۹.۱.۳، PAN-OS ۹.۰ و نسخه‌های قبل از PAN-OS ۹.۰.۹ و PAN-OS ۸.۱، نسخه‌های قبل از PAN-OS ۸.۱.۱۵ و تمام نسخه‌های (PAN-OS ۸.۰ (EOL تأثیر می‌گذارد، گفتنی است که این آسیب‌پذیری بر روی PAN-OS ۷.۱ تأثیر نمی‌گذارد.

در حالت کلی مشتریان می‌توانند موارد زیر را بررسی کنند تا مشخص شود که آیا تحت تاثیر آسیب‌پذیری قرار گرفته‌اند یا خیر:
• لاگ‌های احراز هویت
• لاگ‌های User-ID
• ACC Network Activity Source/Destination Regions (Leveraging the Global Filter feature)
• Custom Reports (Monitor > Report)
• لاگ‌های GlobalProtect (در نسخه PAN-OS ۹.۱.۰ و بالاتر)

اما با توجه به اهمیت این آسیب‌پذیری و نیز بالا بودن شدت آن، هرچه سریع‌تر نسبت به وصله دستگاه‌های تحت‌تأثیر این آسیب‌پذیری به‌خصوص اگر پروتکل SAML مورد استفاده قرار گرفته است، اقدام کنید.
مرجع : مرکز ماهر