Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าวจะเกิดขึ้นได้ก็ต่อเมื่อ Palo Alto มี Configuration ในรูปแบบดังนี้

1. มีการตั้งค่าฟีเจอร์ URL Filtering ที่มีการบล็อคอย่างน้อย 1 category กับ source zone ที่มี external facing interface

2. ไม่ได้มีการเปิดการใช้งาน TCP Syn With Data และ TCP Fast Open ใน Packet-based attack protection ใน Zone Protection profile

3. ไม่ได้มีการเปิดการใช้งาน SYN Cookies ด้วยค่า activation threshold = 0 ใน Flood protection ใน Zone Protection profile

(more…)

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.

Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS ช่องโหว่ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies ซึ่งช่องโหว่ที่ถูกเเก้ไขนั้นมีระดับความรุนเเรงจาก CVSS อยู่ที่ 3.3 - 9.8 ช่องโหว่ที่มีความสำคัญมีรายละเอียดดังนี้

CVE-2020-2040 (CVSS: 9.8) เป็นช่องโหว่ Buffer overflow ใน PAN-OS โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูท โดยการส่งคำขอที่เป็นอันตรายไปยัง Captive Portal หรืออินเทอร์เฟซ Multi-Factor Authentication ช่องโหว่นี้ได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูทจะกระทบกับ PAN-OS 8.0 ทุกเวอร์ชัน, PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.15, PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9, PAN-OS 9.1 เวอร์ชันก่อนหน้า PAN-OS 9.1.3 โดยช่องโหว่นี้จะไม่ส่งผลกระทบกับ GlobalProtect VPN และ PAN-OS management web interfaces
CVE-2020-2036 (CVSS: 8.8) เป็นช่องโหว่ Cross-Site Scripting (XSS) ช่องโหว่อยู่ใน management web interfaces ช่องโหว่จะทำให้ผู้โจมตีจากระยะไกลที่ทำการหลอกผู้ดูแลระบบด้วยเซสชันที่ได้รับการพิสูจน์ตัวตนและใช้งานอยู่บน firewall management interface ให้ทำการคลิกลิงก์ที่สร้างขึ้นเป็นพิเศษโดยช่องโหว่จะทำให้สามารถเรียกใช้โค้ด JavaScript ได้โดยไม่ได้รับอนุญาตในเบราว์เซอร์ของผู้ดูแลระบบและผู้โจมตีจะสามารถดำเนินการในฐานะดูแลระบบได้ ช่องโหว่นี้มีผลกระทบกับ PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.16 และ PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9
CVE-2020-2041 (CVSS: 7.5) เป็นช่องโหว่ Denial-of-service (DoS) ใน Management web interface ช่องโหว่จะทำให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนจากระยะไกลสามารถส่งคำขอที่สร้างขึ้นโดยเฉพาะไปยังอุปกรณ์ที่ทำให้บริการ appweb ซึ่งเมื่อเกิดการส่งการร้องขอซ้ำหลายครั้งส่งผลใก้เกิด DoS ใน PAN-OS เซอร์วิสและจะทำให้อุปกรณ์เกิดการรีสตาร์ท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.0 และ PAN-OS 8.1 ทุกเวอร์ชันก่อนหน้า 8.1.16
CVE-2020-2037(CVSS: 7.2) และ CVE-2020-2038 (CVSS: 7.2) เป็นช่องโหว่ Command Injection ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีสามารถรันคำสั่งได้ด้วยสิทธิ์ของรูท ช่องโหว่จะกระทบกับ PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.10, PAN-OS 9.1 เวอร์ชันก่อนหน้า 9.1.4 และ PAN-OS 10.0 เวอร์ชันก่อนหน้า 10.0.1
CVE-2020-2042 (CVSS: 7.2) เป็นช่องโหว่ Buffer overflow ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีที่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์ระดับรูท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 10.0 เวอร์ชันก่อนหน้า PAN-OS 10.0.1
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของ PAN-OS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: security.

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet

Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ใน PAN-OS ชุดใหญ่

Palo Alto Networks ได้ทำการแจ้งข้อมูลการแก้ไขช่องโหว่จำนวนมากให้ลูกค้ารับทราบโดยการแก้ไขช่องโหว่นั้นอยู่ในผลิตภัณฑ์ PAN-OS ซึ่งเป็นซอฟต์แวร์ Next-Generation Firewall ของบริษัท

ช่องโหว่ที่น่าสนใจและมีความร้ายแรงที่สุดคือ CVE-2020-2018 (CVSSv3 9) เป็นช่องโหว่ที่จะช่วยให้ผู้โจมตีสามารถเข้าถึงระบบการจัดการ Panorama management system และทำให้ห้ผู้โจมตีสามารถยกระดับสิทธิ์ในการเข้าถึงการจัดการบนไฟร์วอลล์ได้ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS 7.1 เวอร์ชันก่อนหน้า 7.1.26, PAN-OS 8.1 เวอร์ชั่นเก่ากว่า 8.1.12, PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.6 และ PAN-OS 8.0 ทุกรุ่น

ช่องโหว่ CVE-2020-2012 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ XXE เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงอินเตอร์เฟส Panorama และสามารถอ่านไฟล์โดยไม่ได้รับอนุญาตในระบบ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ช่องโหว่ CVE-2020-2011 (CVSSv3 7.5) เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถทำปฏิเสธการให้บริการ (DoS) บนเซอร์วิสของ PAN-OS Panoram ทั้งหมดโดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ข้อเเนะนำ
ผู้ใช้ PAN-OS เวอร์ชัน 9.1, 9.0, 8.1 ควรทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพือป้องกันผลกระทบของช่องโหว่ ผู้ใช้งาน PAN-OS เวอร์ชัน 8.0 จะไม่ได้รับการรอัพเดตเเพตซ์เนื่องจากจะหมดอายุการใช้งานในวันที่ 31 ตุลาคม 2019 สำหรับเวอร์ชัน 7.1 จะรองรับการใช้งานจนถึงวันที่ 30 มิถุนายน 2020

ที่มา: securityweek