Nieuws
image

'Aanvallers maken actief misbruik van lek in firewalls Palo Alto Networks'

vrijdag 14 februari 2025, 11:55 door Redactie, 4 reacties

Aanvallers maken actief misbruik van een kwetsbaarheid in firewalls van Palo Alto Networks waardoor het mogelijk is om de authenticatie te omzeilen. Dat meldt securitybedrijf GreyNoise. Afgelopen woensdag verschenen er beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2025-0108.

Via het beveiligingslek kan een ongeauthenticeerde aanvaller de authenticatie van de managementinterface omzeilen en bepaalde PHP-scripts aanroepen. Dit maakt het niet mogelijk om code uit te voeren, maar kan wel de integriteit en vertrouwelijkheid van PAN-OS negatief beïnvloeden, aldus het beveiligingsbulletin. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait.

Om de aanval uit te kunnen voeren moet een aanvaller de managementinterface kunnen benaderen. Wanneer organisaties toestaan dat externe ip-adressen de managementinterface van hun firewall kunnen benaderen is de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Volgens GreyNoise kan de kwetsbaarheid ertoe leiden dat aanvallers toegang tot kwetsbare firewalls krijgen. Het securitybedrijf zegt dat het sinds gisteren de eerste aanvallen heeft waargenomen die misbruik van het lek maken, maar geeft geen verdere details hierover.

Reacties (4)
Reageer met quote
14-02-2025, 13:17 door Anoniem
Alweer?
Is dat niet de zoveelste exploit de laatste tijd?
Volgens mij was het echt niet zo erg 5-10 jaar geleden...

Firewalls behoren trouwens geen publiek benaderbaar PHP scripts te hebben in de eerste plaats.
Dat zou altijd via een VPN moeten of desnoods via HTTP basic auth...
Het is een firewall, het minste dat je kan doen is de oppervlakte die aan dat vuur blootgesteld word minimaliseren!
Reageer met quote
14-02-2025, 13:28 door Anoniem
Wat een bagger, al die firewalls. Wie schrijft de software daarvoor? Gegeven de aard van zulke producten zou je toch denken dat het hele sw ontwikkelproces bevolkt wordt door de allerbeste programmeurs en ook dat het goed gereviewd wordt. Uiteraard kan er toch nog wel eens wat doorheensluipen, maar het tempo waarin voor PA (en Cisco, en Forti, etc.) kwetsbaarheden worden gepubliceerd vind ik toch wel hoog
Reageer met quote
14-02-2025, 14:12 door DeZin
Door Anoniem
Dat zou altijd via een VPN moeten of desnoods via HTTP basic auth...
Zoals omschreven gaat de kwetsbaarheid juist om het omzeilen van de Authenticatie.

Door Anoniem:
Uiteraard kan er toch nog wel eens wat doorheensluipen, maar het tempo waarin voor PA (en Cisco, en Forti, etc.) kwetsbaarheden worden gepubliceerd vind ik toch wel hoog
9 van de 10 kwetsbaarheden hebben te maken met aanvallen op de management interface. Zo'n interface is inherent minder veilig (alleen al omdat de impact van een kwetsbaarheid automatisch veel hoger ligt). Daarom hoort die ook nooit publiekelijk ontsloten te zijn.

Dit is zoals 9 van de 10 firewall kwetsbaarheden een kwetsbaarheid die als je je enkel aan de meest basale best practices houdt, niet aangevallen kan worden.
Reageer met quote
14-02-2025, 14:45 door Anoniem
Door DeZin:
Door Anoniem
Dat zou altijd via een VPN moeten of desnoods via HTTP basic auth...
Zoals omschreven gaat de kwetsbaarheid juist om het omzeilen van de Authenticatie.

Om de aanval uit te kunnen voeren moet een aanvaller de managementinterface kunnen benaderen.
Door de optie van DeZin is de firewall alleen benaderbaar via een VPN of obv HTTP Basic Auth. Hierdoor is het dan niet meer mogelijk om de kwetsbaarheid uit te buiten. De managementinterface is tenslotte afgeschermd en NIET meer door iedereen te benaderen!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search