El Comando Cibernético de los Estados Unidos dice que los piratas informáticos extranjeros probablemente explotarán el nuevo mistake de seguridad del PAN-OS


Comando cibernético de EE. UU.

El Comando Cibernético de Estados Unidos dijo hoy que los grupos de piratería patrocinados por el estado extranjero probablemente explotarán un error de seguridad importante revelado hoy en PAN-OS, el sistema operativo que se ejecuta en firewalls y dispositivos VPN empresariales de Palo Alto Networks.

«Revise todos los dispositivos afectados por CVE-2020-2021 inmediatamente, especialmente si SAML está en uso «, dijo el Comando Cibernético de EE. UU. en un tweet hoy.

«Las APT extranjeras probablemente intentarán (explotar) pronto», agregó la agencia, refiriéndose a la APT (amenaza persistente avanzada), un término utilizado por la industria de seguridad cibernética para describir a los grupos de piratas informáticos de los estados nacionales.

CVE-2020-2021: una rara vulnerabilidad 10/10

Los funcionarios del Comando Cibernético de los Estados Unidos tienen razón en entrar en pánico. La vulnerabilidad CVE-2020-2021 es uno de esos raros errores de seguridad que recibieron una puntuación de 10 sobre 10 en la escala de gravedad CVSSv3.

Un puntaje de 10/10 CVSSv3 significa que la vulnerabilidad es fácil de explotar, ya que no requiere habilidades técnicas avanzadas y que se puede explotar de forma remota a través de World wide web, sin requerir que los atacantes se establezcan inicialmente en el dispositivo atacado.

En términos técnicos, la vulnerabilidad es un bypass de autenticación que permite a los actores de amenazas acceder al dispositivo sin necesidad de proporcionar credenciales válidas.

Una vez explotado, el mistake permite a los piratas informáticos cambiar la configuración y las funciones de PAN-OS. Si bien cambiar las características del sistema operativo parece inocuo, y de poca consecuencia, el error es en realidad un problema bastante importante porque podría usarse para deshabilitar los firewalls o las políticas de handle de acceso VPN, deshabilitando efectivamente todos los dispositivos PAN-OS.

Los dispositivos PAN-OS deben estar en una configuración determinada

En un aviso de seguridad publicado hoy, Palo Alto Networks (PAN) dijo que los factores atenuantes incluyen el hecho de que los dispositivos PAN-OS deben estar en una determinada configuración para que el mistake sea explotable.

Los ingenieros de PAN dijeron que el mistake solo es explotable si la opción &#39Validar certificado de proveedor de identidad&#39 está deshabilitada y si SAML (Protection Assertion Markup Language) está habilitado.

pan-os-cheques.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/30/09b5abec-ee41-4e31-b071-4536bfcca3a9/pan-os-checks.png

Imagen: Redes de Palo Alto

Los dispositivos que admiten estas dos opciones, y son vulnerables a los ataques, incluyen sistemas como:

  • GlobalProtect Gateway
  • Portal GlobalProtect
  • VPN sin cliente GlobalProtect
  • Autenticación y portal cautivo
  • Cortafuegos de última generación PAN-OS (PA-Series, VM-Series) e interfaces world wide web Panorama
  • Sistemas de acceso Prisma

Estas dos configuraciones no están en las posiciones vulnerables de manera predeterminada y requieren que la intervención handbook del usuario se establezca en esa configuración específica, lo que significa que no todos los dispositivos PAN-OS son vulnerables a los ataques de forma predeterminada.

Algunos dispositivos se han configurado para ser vulnerables

Sin embargo, según Will Dormann, analista de vulnerabilidades de CERT / CC, varios manuales de proveedores instruyen a los propietarios de PAN-OS a establecer esta configuración specific exacta cuando usan proveedores de identidad de terceros, como usar Dúo autenticación en dispositivos PAN-OS o soluciones de autenticación de terceros de Centrificar, Trusona u Okta.

Esto significa que, si bien la vulnerabilidad parece inofensiva a primera vista debido a la compleja configuración necesaria para ser explotable, es possible que haya bastantes dispositivos configurados en este estado vulnerable, especialmente debido al uso generalizado de la autenticación Duo en el sector empresarial y gubernamental .

Como resultado, se recomienda a los propietarios de dispositivos PAN-OS que revisen inmediatamente las configuraciones de dispositivos y apliquen los últimos parches proporcionados por Palo Alto Networks si sus dispositivos se ejecutan en un estado susceptible.

La lista de versiones vulnerables de PAN-OS donde se sabe que CVE-2020-2021 funciona se enumeran a continuación.

pan-os -fected.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/30/5915e277-7747-42bb-b192-ad6cf21bd052/pan-os-affected.png

Tras la revelación de la vulnerabilidad de Palo Alto hoy, varias figuras respetadas en la comunidad de ciberseguridad se han hecho eco de la advertencia del Comando Cibernético de los EE. UU. Y también han instado a los administradores del sistema a parchear los dispositivos PAN-OS lo antes posible, también anticipando ataques de actores de amenazas del estado-nación para seguir en cuestión de días.

Palo Alto Networks no devolvió un correo electrónico en busca de comentarios sobre la advertencia del Comando Cibernético de EE. UU.





Enlace a la noticia primary