Σύμφωνα με τον κυβερνητικό οργανισμό US Cyber Command, ξένες κρατικές hacking ομάδες είναι πιθανό να εκμεταλλευτούν ένα κρίσιμο σφάλμα ασφαλείας που εντοπίστηκε στο PAN-OS, το λειτουργικό σύστημα από την Palo Alto Networks, που τρέχει σε firewalls και VPN εταιρειών.
“Παρακαλώ ενημερώστε αμέσως όλες τις συσκευές που επηρεάζονται από την ευπάθεια CVE-2020-2021, ειδικά εάν χρησιμοποιείται το SAML”, ανέφερε σε ένα tweet, ο US Cyber Command.
“Ξένες APT ομάδες πιθανότατα να προσπαθήσουν να εκμεταλλευτούν την ευπάθεια σύντομα”, πρόσθεσε ο οργανισμός, χρησιμοποιώντας τον όρο APT (advanced persistent threat), που χρησιμοποιείται από τους εδικούς ασφάλειας στον κυβερνοχώρο για να περιγράψει κρατικές hacking ομάδες.
CVE-2020-2021
Οι Αμερικανοί αξιωματούχοι έχουν πανικοβληθεί και έχουν δίκιο καθώς η ευπάθεια CVE-2020-2021 είναι μια από τις σπάνιες περιπτώσεις σφάλματος που έχει λάβει βαθμολογία 10/10 στην κλίμακα CVSSv3.
Η βαθμολογία 10/10 σημαίνει ότι η ευπάθεια μπορεί εύκολα να χρησιμοποιηθεί καθώς δεν απαιτεί προηγμένες τεχνικές δεξιότητες και ότι μπορεί κανείς να την εκμεταλλευτεί απομακρυσμένα μέσω του Διαδικτύου, χωρίς να χρειάζεται να μπει στη ευάλωτη συσκευή με άλλο τρόπο.
Ουσιαστικά, η ευπάθεια είναι μια παράκαμψη ελέγχου ταυτότητας που επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση στη συσκευή χωρίς να χρειάζεται να παρέχουν έγκυρα credentials.
Αν γίνει εκμετάλλευση της ευπάθειας, οι hackers θα μπορούν να αλλάξουν τις ρυθμίσεις και τις λειτουργίες του PAN-OS. Το σφάλμα θα μπορούσε, επίσης, να χρησιμοποιηθεί για την απενεργοποίηση των firewalls ή των VPN ή και ολόκληρων των συσκευών PAN-OS.
Οι συσκευές PAN-OS πρέπει να έχουν συγκεκριμένη διαμόρφωση
Η Palo Alto Networks (PAN) δήλωσε ότι οι συσκευές PAN-OS πρέπει να είναι σε μια συγκεκριμένη διαμόρφωση για να μπορεί να αξιοποιηθεί το σφάλμα.
Οι μηχανικοί της PAN ανέφεραν ότι το σφάλμα μπορεί να χρησιμοποιηθεί μόνο εάν η επιλογή “Validate Identity Provider Certificate” είναι απενεργοποιημένη και εάν το SAML (Security Assertion Markup Language) είναι ενεργοποιημένο.
Οι συσκευές που υποστηρίζουν αυτές τις δύο επιλογές, και άρα είναι ευάλωτες σε επιθέσεις, περιλαμβάνουν συστήματα όπως:
- GlobalProtect Gateway
- GlobalProtect Portal
- GlobalProtect Clientless VPN
- Authentication and Captive Portal
- PAN-OS next-generation firewalls (PA-Series, VM-Series) και Panorama web interfaces
- Prisma Access systems
Αυτές οι δύο ρυθμίσεις δεν βρίσκονται στις ευάλωτες θέσεις από προεπιλογή. Συνήθως, ο χρήστης κάνει αυτές τις αλλαγές. Επομένως, δεν είναι όλες οι συσκευές PAN-OS ευάλωτες σε επιθέσεις.
Ορισμένες συσκευές έχουν ρυθμιστεί ώστε να είναι ευάλωτες
Ωστόσο, σύμφωνα με τον Will Dormann, αναλυτή ευπαθειών στο CERT / CC, πολλά εγχειρίδια προμηθευτών δίνουν οδηγίες στους κατόχους PAN-OS συσκευών ώστε να κάνουν αυτή τη συγκεκριμένη διαμόρφωση όταν χρησιμοποιούν τρίτες εταιρείες για τον έλεγχο ταυτότητας.
Επομένως, αν και η διαμόρφωση αυτή δεν υπάρχει από προεπιλογή, σίγουρα υπάρχουν πολλές ευάλωτες συσκευές.
Οι κάτοχοι συσκευών PAN-OS πρέπει να ελέγξουν και να αλλάξουν, αν χρειάζεται, τη διαμόρφωση αλλά και να εφαρμόσουν τις πιο πρόσφατες ενημερώσεις της Palo Alto Networks.
Η λίστα με τις ευάλωτες εκδόσεις PAN-OS παρατίθεται παρακάτω:
