Palo Alto Networks выпустила патчи для критического обхода аутентификации в нескольких своих корпоративных продуктах безопасности, о чем сообщили поставщику безопасности два сотрудника infosec Университета Монаша.
Этот недостаток, обнаруженный системным аналитиком кибербезопасности Салманом Ханом и системным инженером Кэмероном Даком из Университета Монаша, оценивается 10 из 10 по Общей системе оценки уязвимостей (CVSS) версии 3 и легко эксплуатируется без необходимости взаимодействия с пользователем.
«Когда аутентификация языка разметки утверждений безопасности (SAML) включена и опция» Проверить сертификат поставщика удостоверений «отключена (снята), неправильная проверка подписей в аутентификации SAML PAN-OS позволяет неаутентифицированному сетевому злоумышленнику получить доступ к защищенным ресурсам»,-написал поставщик безопасности в своем консультативном заключении.
Этот недостаток затрагивает несколько версий PAN-OS Palo Alto, работающих на брандмауэре компании, шлюзе, виртуальных частных сетях и продуктах доступа.
Обновление до версий PAN-OS 8.1.15, 9.0.9 и 9.1.3 устраняет уязвимость обхода аутентификации.
Киберкомандование правительства Соединенных Штатов посоветовало пользователям немедленно залатать все свои устройства Palo Alto Networks, предупредив, что хакеры, спонсируемые зарубежными национальными государствами, скорее всего, попытаются воспользоваться этой уязвимостью.
Если нет возможности немедленно исправить уязвимость, Palo Alto Networks заявила, что настройка аутентификации SAML с помощью сертификата поставщика удостоверений центра сертификации (CA) наряду с включением проверки учетных данных может быть использована в качестве полного смягчения этой уязвимости.
Если SAML не используется для аутентификации, ошибка обхода не может быть использована, заявили в Palo Alto Networks.
На данный момент поставщик безопасности не знает о каких-либо попытках использовать эту уязвимость.
Попытки использования этой уязвимости могут регистрироваться системами, но Palo Alto Networks заявила, что бывает трудно отличить действительные и вредоносные логины или сеансы.
Необычные имена пользователей или исходные адреса интернет-протоколов, найденные в системных журналах, являются индикаторами компрометации, предупреждают сети Пало-Альто.