Wereldwijd zijn duizenden GlobalProtect vpn-servers van Palo Alto Networks kwetsbaar voor aanvallen doordat organisaties de standaard master key niet hebben gewijzigd. De master key wordt gebruikt voor het versleutelen van onder andere private keys en wachtwoorden in het configuratiebestand. Het kan echter ook toegang tot de server geven.
Palo Alto Networks adviseert organisaties om bij de installatie een nieuwe master key te configureren. "Dit zorgt ervoor dat een aanvaller geen toegang tot al je apparaten heeft in het geval hij de master key van één apparaat achterhaalt", aldus een blogposting op de website van Palo Alto. De standaard master key die Palo Alto gebruikt is al jaren bekend. Een beveiligingsonderzoeker met het alias "rqu" schreef onlangs een tool en ontdekte dat nagenoeg alle organisaties de master key van hun GlobalProtect vpn-servers niet hebben gewijzigd.
Wanneer de key bij een aanvaller bekend is kan die commando's met rootrechten uitvoeren, zo waarschuwt beveiligingsonderzoeker Kevin Beaumont op Twitter. Vorig jaar kwam Palo Alto met een beveiligingsupdate die moet voorkomen dat een aanvaller die de master key kent willekeurige code met rootrechten op servers kan uitvoeren. Beaumont stelt dat veel organisaties deze update niet hebben geïnstalleerd.
Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset. Een situatie die zich met de standaard ingestelde key niet voordoet. Vanwege het risico op misbruik wordt organisaties aangeraden de master key toch te wijzigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.