VS meldt verder misbruik van lekken in firewall-migratietool Palo Alto Networks
Aanvallers maken inmiddels misbruik van drie verschillende kwetsbaarheden om gevoelige informatie uit de firewall-migratietool van Palo Alto Networks te stelen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat onder andere om een kwetsbaarheid waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.9.
Palo Alto Networks Expedition is een migratietool waarmee het mogelijk is om de configuratie van een firewall van een andere leverancier om te zetten naar een firewall van Palo Alto Networks. Vorige week waarschuwde het CISA dat aanvallers actief misbruik maken van CVE-2024-5910. Het gaat om 'ontbrekende authenticatie' waardoor een ongeauthenticeerde aanvaller het Expedition admin-account kan overnemen. Vervolgens is het mogelijk plaintext inloggegevens, 'configuratiegeheimen' en andere gevoelige data te stelen die voor verdere aanvallen zijn te gebruiken. Palo Alto kwam op 10 juli van dit jaar met een update voor het probleem. De impactscore van deze kwetsbaarheid bedraagt 9.3.
Nu waarschuwt het CISA ook voor misbruik van twee andere kwetsbaarheden, CVE-2024-9463 en CVE-2024-9465. Het gaat als eerste om een command injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand willekeurige OS-commando's als root kan uitvoeren. Zo is het mogelijk om gebruikersnamen, plaintext wachtwoorden, apparaatconfiguraties en device API keys van PAN-OS firewalls te stelen. De enige voorwaarde voor misbruik is dat een aanvaller het systeem kan benaderen. Deze kwetsbaarheid heeft een impactscore van 9.9.
De tweede kwetsbaarheid, CVE-2024-9465, betreft SQL-injection. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller de inhoud van de Expedition-database uitlezen, zoals wachtwoordhashes, gebruikersnamen, apparaatconfiguraties en device API keys. "Hiermee kunnen aanvallers ook willekeurige bestanden op het Expedition-systeem aanmaken en lezen", aldus Palo Alto. De impact van dit beveiligingslek is beoordeeld met een 9.2. Voor beide kwetsbaarheden verscheen op 9 oktober een beveiligingsupdate. Details over de aanvallen zijn niet door het CISA gegeven.
Maar hoe "dom" moet je zijn om tooling die gemaakt is voor migraties, tot NA de migratie beschikbaar te hebben via internet. Sowieso, waarom moet een migratietool op internet toegankelijk zijn. Bizar dat dit uberhaupt kan gebeuren.
Hetzelfde met de recente 9.8 CVSS melding op de fysieke firewall producten, Alleen als de management interface direct aan internet hangt.
Soms vraag ik me af of ik nog wel zin heb om hier zo fel tegenin te gaan, daar heel de wereld gek geworden lijkt te zijn. Basis op orde, Best Practices en Hardening zijn termen die helaas niet breedverspreid bekend lijken te zijn.
Zodat je dan packets in hardware logic kan filteren en waar nodig droppen nog voordat ze volledig ontvangen zijn. ;)
Enige punt van opletten is dat het geen oplossing is voor kwetsbare services natuurlijk...
Maar hoe "dom" moet je zijn om tooling die gemaakt is voor migraties, tot NA de migratie beschikbaar te hebben via internet. Sowieso, waarom moet een migratietool op internet toegankelijk zijn. Bizar dat dit uberhaupt kan gebeuren.
Hetzelfde met de recente 9.8 CVSS melding op de fysieke firewall producten, Alleen als de management interface direct aan internet hangt.
Soms vraag ik me af of ik nog wel zin heb om hier zo fel tegenin te gaan, daar heel de wereld gek geworden lijkt te zijn. Basis op orde, Best Practices en Hardening zijn termen die helaas niet breedverspreid bekend lijken te zijn.
Ach komen ze weer in het nieuws. Iets met er is geen slechte publiciteit....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
