image

Palo Alto Networks waarschuwt voor actief aangevallen zerodaylek in PAN-OS

vrijdag 15 november 2024, 11:53 door Redactie, 6 reacties
Laatst bijgewerkt: 15-11-2024, 17:09

Palo Alto Networks waarschuwt voor een actief aangevallen zerodaylek in de managementinterface van PAN-OS, waardoor een ongeauthenticeerde aanvaller op afstand code op firewalls kan uitvoeren. Verdere details over de kwetsbaarheid, een beveiligingsupdate of CVE-nummer zijn niet beschikbaar. Palo Alto Networks zegt de situatie te onderzoeken. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait.

Op acht november kwam Palo Alto Networks met een informatiebulletin waarin het voor een mogelijke RCE (remote code execution)-kwetsbaarheid in PAN-OS waarschuwde. De waarschuwing was volgens het securitybedrijf gebaseerd op een externe claim waar verder geen details over werden gegeven. Het securitybedrijf kon de aanwezigheid van een kwetsbaarheid op dat moment nog niet bevestigen en had naar eigen zeggen ook nog geen aanwijzingen van misbruik.

Gisterenavond is het beveiligingsbulletin voorzien van een update waarin wordt gemeld dat er actief misbruik is waargenomen tegen Palo Alto Networks-firewalls waarvan de managementinterface benaderbaar vanaf het internet is. Details over de kwetsbaarheid zijn niet gegeven, behalve dat die unauthenticated remote command execution mogelijk maakt. De enige oplossing die Palo Alto Networks op dit moment heeft is het beveiligen van de managementinterface en ervoor zorgen dat die niet vanaf internet benaderbaar is.

Update

The Shadowserver Foundation laat weten dat meer dan 8700 PAN-OS managementinterfaces vanaf internet toegankelijk zijn. Tweeduizend minder dan bij vorige meting op 11 november, net nadat de eerste versie van het informatiebulletin online verscheen. Zo'n honderdtwintig interfaces zijn in Nederland te vinden, aldus de cijfers.

Reacties (6)
15-11-2024, 13:09 door Anoniem
Sowieso hoort een managementinterface niet publiek aan internet te hangen...
15-11-2024, 13:09 door Bitje-scheef
Wat sowieso een BP'tje is.
15-11-2024, 13:44 door Anoniem
Hoe moeilijk kan het zijn om goed je firewall in te stellen? :/
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)
16-11-2024, 09:52 door Anoniem
Door Anoniem: Hoe moeilijk kan het zijn om goed je firewall in te stellen? :/
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)

geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
16-11-2024, 13:06 door Anoniem
Door Anoniem:
Door Anoniem: Hoe moeilijk kan het zijn om goed je firewall in te stellen? :/
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)

geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
Welke extra informatie? een goede rewrite geeft helemaal niks prijs dat HTTPS ook niet doet...
port knocking: Als luisteren al een risico is dan kan je beter helemaal geen server hebben...
Ping is optioneel, maar wel netjes om aan te hebben.
Als jij zo wantrouwend bent, ga dan helemaal offline ofzo...
21-11-2024, 11:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe moeilijk kan het zijn om goed je firewall in te stellen? :/
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)

geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
Welke extra informatie? een goede rewrite geeft helemaal niks prijs dat HTTPS ook niet doet...
port knocking: Als luisteren al een risico is dan kan je beter helemaal geen server hebben...
Ping is optioneel, maar wel netjes om aan te hebben.
Als jij zo wantrouwend bent, ga dan helemaal offline ofzo...

Het is in mijn mening naief om te denken dat een crimineel niet iedere optie zal proberen die er beschikbaar is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.