www.belgium.be Logo of the federal government

Plusieurs vulnérabilités corrigées dans l'outil de gestion du pare-feu Panorama

Référence: 
Advisory #2020-017
Version: 
1
Logiciels concernés : 
PAN-OS 7.1 versions < 7.1.26
PAN-OS 8.0 toutes les versions (EoL)
PAN-OS 8.1 versions < 8.1.12
PAN-OS 9.0 versions < 9.0.6
Type: 
Plusieurs vulnérabilités, dont Contournement des mécanismes d’authentification et Élévation de droits d’accès
CVE/CVSS: 

CVE-2020-2018 - CVSSv3 9.0
CVE-2020-2012 - CVSSv3 7.5
CVE-2020-2011 - CVSSv3 7.5
CVE-2020-2005 - CVSSv3 7.1
CVE-2020-2002 - CVSSv3 8.1

Sources

https://www.securityweek.com/palo-alto-networks-patches-many-vulnerabilities-pan-os
https://security.paloaltonetworks.com/CVE-2020-2018
https://security.paloaltonetworks.com/CVE-2020-2012
https://security.paloaltonetworks.com/CVE-2020-2011
https://security.paloaltonetworks.com/CVE-2020-2005
https://security.paloaltonetworks.com/CVE-2020-2002

Risques

Ces vulnérabilités permettent d’exécuter un grand nombre d’attaques. Un utilisateur distant pourrait exploiter certaines de ces vulnérabilités pour déclencher l'exécution de code à distance, l'élévation de droits d’accès , le contournement des restrictions de sécurité, l'usurpation de la distribution de clés Kerberos et une attaque par déni de service distribué.

Description

Palo Alto a identifié plusieurs vulnérabilités dans son système de gestion de pare-feu PAN-OS. Toutes ces failles de sécurité ont été mises à jour dans leur dernier correctif. La vulnérabilité la plus sévère (CVE-2020-2018) permet à un acteur malveillant d'accéder à l'interface du système de gestion Panorama et lui permet d'avoir un accès privilégié aux pare-feu.

Le correctif aborde toutes les vulnérabilités à haut risque qui pourraient être exploitées pour faire augmenter les privilèges, exécuter du code à distance avec des autorisations root, détourner des comptes d'administrateur, lancer des attaques de type "cross-site scripting" et supprimer des fichiers. La plupart d'entre elles sont possibles après authentification de l'acteur malveillant ou si celui-ci est capable de lire le trafic réseau.

La version 8.0 du PAN-OS a atteint sa fin de vie et ne sera plus supportée/mise à jour par les développeurs.

Actions recommandées

CERT.be recommande d'installer toutes les dernières mises à jour du système de gestion de Panorama fournies par les développeurs.

 Il est également conseillé de suivre les directives fournies par ces derniers pour configurer correctement votre application et votre pare-feu :