Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Palo Alto – urządzenia chroniące sieć mają… RCE bez uwierzytelnienia
Szewc bez butów chodzi. Palo Alto znane z rozwiązań mających chronić przed atakami, załatało właśnie podatność w webserwerze służącym do zarządzania swoimi urządzeniami.
Luka zaklasyfikowana została jako critical, umożliwia nieuwierzytelnione wykonanie kodu w systemie operacyjnym, przez odpowiednie przygotowanie requestów do webserwera, umożliwiającego zarządzanie urządzeniami Palo Alto (systemy PAN-OS: 5, 6, 7).
Jak pisze Tavis Ormandy – odkrywca buga – w połączeniu z wcześniejszymi podatnościami można wykonać kod z uprawnieniami roota.
Tavis dodaje również, że Palo Alto używa webserwera, który w fazę End Of Life wszedł w roku 2012 (!).
–ms
parafrazując inny Wasz tytuł to tytuł tego tekstu powinien brzmieć: „Ordynarny backdoor w amerykańskim firewallu”, https://sekurak.pl/kolejny-ordynarny-chinski-backdoor-w-androidzie-3-000-000-urzadzen-podatnych/
:-)
zwłaszcza, że backdoor w paloalto używanym w dużych instytucjach w Polsce jest dużo bardziej groźny niż w noname’ach nie używanych w naszym kraju
Było tak bodaj jakiś czas temu z Fortigate, czy TP-link: https://sekurak.pl/tp-link-httptftp-backdoor/
Tutaj problem wynikał z braku aktualizacji web serwera a nie wrzucenie w niego extra podatnego kodu.
Zauważcie, że dotyczy to tylko przypadku kiedy mamy dostęp do interfejsu MGMT.
W przypadku poprawnie wdrożonej polityki bezpieczeństwa, odpowiedniej konfiguracji samego interfejsu MGMT (restrykcja dla adresów źródłowych, zarządzanie na dedykowanym interfejsie) jest to nieco problematyczne.
Tak. Ale przyznaj że i tak to jakiś hardcore jest z takimi bugami. I sam Palo Alto oznaczył to jako 'Critical’, więc sypią głowę popiołem…
Wiadomo – jest to dość słabe.
Chciałem tylko uspokoić ewentualnych administratorów – jeżeli konfiguracja zarządzania jest prawidłowo wdrożona to nie jest to dla nich strzał w tył głowy.
Co innego jeżeli ktoś wdrożył to na interfejsach produkcyjnych bądź na WAN (bez restrykcji na adresy źródłowe) – wtedy zalecam dopić kawę i zabierać się za aktualizację.