image

Palo Alto Networks firewalls waren op afstand over te nemen

donderdag 14 december 2017, 09:47 door Redactie, 8 reacties

Een ernstig beveiligingslek in firewalls van leverancier Palo Alto Networks maakte het mogelijk om de apparaten op afstand over te nemen. Door drie verschillende bugs aan elkaar te koppelen konden er zonder wachtwoord via de webinterface commando's met rootrechten worden uitgevoerd.

Palo Alto Networks adviseert om de webinterface niet aan het internet te hangen. Diensten zoals Project Sonar en Shodan laten echter zien dat het vrij normaal is om firewalls uit te rollen waarbij de webinterface via internet toegankelijk is, aldus onderzoeker Philip Pettersson op de Full Disclosure-mailinglist. Palo Alto Networks heeft updates voor het besturingssysteem van de firewall uitgebracht om het probleem te verhelpen. Beheerders krijgen het advies om te updaten naar PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14 of PAN-OS 8.0.6.

Reacties (8)
14-12-2017, 10:43 door Anoniem
De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.
14-12-2017, 12:13 door Anoniem
Door Anoniem: De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.
True.. True..
14-12-2017, 15:20 door sjonniev
Door Anoniem: De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.

En met 2 factor authentication, zoals OTP? Mag het dan wel?
14-12-2017, 16:00 door Anoniem
Door sjonniev:
Door Anoniem: De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.

En met 2 factor authentication, zoals OTP? Mag het dan wel?

Waarom zou je een web interface überhaupt aan de hele wereld willen laten zien? Hooguit voor een selecte groep IP adressen waar je het (remote) beheer vanaf doet. OTP helpt je niet als de oorzaak van een lek in een bug zit.
14-12-2017, 16:14 door Anoniem
als je een pAlo alto hebt draaien kun je ook gewoon een vpn opzetten naar binnen... no need voor mgmt int ooit aan internrt
14-12-2017, 17:48 door sjonniev
Door Anoniem:
Door sjonniev:
Door Anoniem: De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.

En met 2 factor authentication, zoals OTP? Mag het dan wel?

Waarom zou je een web interface überhaupt aan de hele wereld willen laten zien? Hooguit voor een selecte groep IP adressen waar je het (remote) beheer vanaf doet. OTP helpt je niet als de oorzaak van een lek in een bug zit.

Dat laatste klopt. Maar niet iedereen heeft de luxe van vaste IP adressen. En ook in een VPN-toepassing kunnen bugs zitten.
15-12-2017, 15:00 door Anoniem
Ik lach me rot! En de Amerikanen bestempelen Russische software als onbetrouwbaar. Enne.... was het wel een beveiligingslek? Misschien was het wel een feature, bewust ingebouwd in opdracht van de Amerikaanse overheid. Een "Backdoor-as-a-Feature" (BaaF). Met die Yanks weet je het maar nooit. Ze zijn immers de grootste snuffelaars ter wereld, waarbij zelfs hun eigen bondgenoten niet gevrijwaard zijn van deze vorm van spionage.
16-12-2017, 22:31 door Anoniem
Door sjonniev:
Door Anoniem: De management interface van een firewall (of wat voor apparaat dan ook) publiek benaderbaar maken en dan ook nog eens zonder ACL die op source IP adres filtert is sowieso een no-go wat mij betreft.

En met 2 factor authentication, zoals OTP? Mag het dan wel?

Dat helpt totaal niet tegen bugs in het authenticatie gedeelte waarbij je dat kunt overnemen of omzeilen - zoals hier het geval was.

Het probleem is dat je voor die login een heel grote bak heel erg complexe code (webserver + SSL + authenticatie) nodig is, die gegarandeerd bugs bevat .
Een IP packet filter daarintegen is een heel erg recht-toe-recht aan stukje code, en je beperkt het deel van wereld dat met je complexe code kan praten enorm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.