image

VS meldt verder misbruik van lekken in firewall-migratietool Palo Alto Networks

vrijdag 15 november 2024, 09:51 door Redactie, 3 reacties

Aanvallers maken inmiddels misbruik van drie verschillende kwetsbaarheden om gevoelige informatie uit de firewall-migratietool van Palo Alto Networks te stelen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het gaat onder andere om een kwetsbaarheid waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.9.

Palo Alto Networks Expedition is een migratietool waarmee het mogelijk is om de configuratie van een firewall van een andere leverancier om te zetten naar een firewall van Palo Alto Networks. Vorige week waarschuwde het CISA dat aanvallers actief misbruik maken van CVE-2024-5910. Het gaat om 'ontbrekende authenticatie' waardoor een ongeauthenticeerde aanvaller het Expedition admin-account kan overnemen. Vervolgens is het mogelijk plaintext inloggegevens, 'configuratiegeheimen' en andere gevoelige data te stelen die voor verdere aanvallen zijn te gebruiken. Palo Alto kwam op 10 juli van dit jaar met een update voor het probleem. De impactscore van deze kwetsbaarheid bedraagt 9.3.

Nu waarschuwt het CISA ook voor misbruik van twee andere kwetsbaarheden, CVE-2024-9463 en CVE-2024-9465. Het gaat als eerste om een command injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand willekeurige OS-commando's als root kan uitvoeren. Zo is het mogelijk om gebruikersnamen, plaintext wachtwoorden, apparaatconfiguraties en device API keys van PAN-OS firewalls te stelen. De enige voorwaarde voor misbruik is dat een aanvaller het systeem kan benaderen. Deze kwetsbaarheid heeft een impactscore van 9.9.

De tweede kwetsbaarheid, CVE-2024-9465, betreft SQL-injection. Via dit beveiligingslek kan een ongeauthenticeerde aanvaller de inhoud van de Expedition-database uitlezen, zoals wachtwoordhashes, gebruikersnamen, apparaatconfiguraties en device API keys. "Hiermee kunnen aanvallers ook willekeurige bestanden op het Expedition-systeem aanmaken en lezen", aldus Palo Alto. De impact van dit beveiligingslek is beoordeeld met een 9.2. Voor beide kwetsbaarheden verscheen op 9 oktober een beveiligingsupdate. Details over de aanvallen zijn niet door het CISA gegeven.

Reacties (3)
15-11-2024, 11:08 door de_bofh
Zelf ben ik biassed over de producten van Palo Alto Networks, dus dat even terzijde.

Maar hoe "dom" moet je zijn om tooling die gemaakt is voor migraties, tot NA de migratie beschikbaar te hebben via internet. Sowieso, waarom moet een migratietool op internet toegankelijk zijn. Bizar dat dit uberhaupt kan gebeuren.

Hetzelfde met de recente 9.8 CVSS melding op de fysieke firewall producten, Alleen als de management interface direct aan internet hangt.

Soms vraag ik me af of ik nog wel zin heb om hier zo fel tegenin te gaan, daar heel de wereld gek geworden lijkt te zijn. Basis op orde, Best Practices en Hardening zijn termen die helaas niet breedverspreid bekend lijken te zijn.
15-11-2024, 12:29 door Anoniem
Op dit punt denk ik dat je bijna wel een FPGA-gebaseerde firewall kan overwegen als je zeker wilt zijn...
Zodat je dan packets in hardware logic kan filteren en waar nodig droppen nog voordat ze volledig ontvangen zijn. ;)

Enige punt van opletten is dat het geen oplossing is voor kwetsbare services natuurlijk...
15-11-2024, 13:06 door Bitje-scheef
Door de_bofh: Zelf ben ik biassed over de producten van Palo Alto Networks, dus dat even terzijde.

Maar hoe "dom" moet je zijn om tooling die gemaakt is voor migraties, tot NA de migratie beschikbaar te hebben via internet. Sowieso, waarom moet een migratietool op internet toegankelijk zijn. Bizar dat dit uberhaupt kan gebeuren.

Hetzelfde met de recente 9.8 CVSS melding op de fysieke firewall producten, Alleen als de management interface direct aan internet hangt.

Soms vraag ik me af of ik nog wel zin heb om hier zo fel tegenin te gaan, daar heel de wereld gek geworden lijkt te zijn. Basis op orde, Best Practices en Hardening zijn termen die helaas niet breedverspreid bekend lijken te zijn.

Ach komen ze weer in het nieuws. Iets met er is geen slechte publiciteit....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.