Other official information and services: www.belgium.be

Meerdere kwetsbaarheden gepatcht binnen de Panorama firewall management tool

Referentie:

Advisory #2020-017

Versie:

Geïmpacteerde software:

PAN-OS 7.1 versies eerder dan 7.1.26

PAN-OS 8.0 alle versies (EoL)

PAN-OS 8.1 versies eerder dan 8.1.13

PAN-OS 9.0 versies eerder dan 9.0.7

Type:

Meerdere kwetsbaarheden, waaronder Remote Code Execution (RCE) en Authentication Bypass

CVE/CVSS:

CVE-2020-2029 - CVSSv3 7.2
CVE-2020-2028 - CVSSv3 7.2
CVE-2020-2027 - CVSSv3 7.2
CVE-2020-2018 - CVSSv3 9.0
CVE-2020-2012 - CVSSv3 7.5
CVE-2020-2011 - CVSSv3 7.5
CVE-2020-2005 - CVSSv3 7.1
CVE-2020-2002 - CVSSv3 8.1

Datum:

19/05/2020

Bronnen

https://www.securityweek.com/palo-alto-networks-patches-many-vulnerabilities-pan-os
https://security.paloaltonetworks.com/CVE-2020-2029
https://security.paloaltonetworks.com/CVE-2020-2028
https://security.paloaltonetworks.com/CVE-2020-2027
https://security.paloaltonetworks.com/CVE-2020-2018
https://security.paloaltonetworks.com/CVE-2020-2012
https://security.paloaltonetworks.com/CVE-2020-2011
https://security.paloaltonetworks.com/CVE-2020-2005
https://security.paloaltonetworks.com/CVE-2020-2002

Risico’s

Deze kwetsbaarheden maken een veelvoud aan aanvallen mogelijk, de meest ernstige maakt een authenticatie bypass mogelijk.
Andere omvatten het risico dat gegevens uit de applicatie worden gelekt, spoofing van Kerberos sleuteldistributie, code-uitvoering op afstand en een distributed denial-of-service aanval.

Beschrijving

Palo Alto onthulde meerdere kwetsbaarheden die werden gevonden binnen het PAN-OS firewall management systeem. Deze zijn allemaal opgelost in hun laatste patch en in detail beschreven op hun website. De meest ernstige CVE-2020-2018 maakt het mogelijk voor een aanvaller om toegang te krijgen tot de interface van het Panorama management systeem en stelt hem in staat om privileged toegang te krijgen tot de firewalls.

De patch pakt alle kwetsbaarheden met een hoog risico aan die kunnen worden uitgebuit om privileges te escaleren, code op afstand uit te voeren met root permissies, admin accounts te hijacken, cross site scripting aanvallen te lanceren en bestanden te verwijderen. De meeste hiervan zijn mogelijk na authenticatie van de aanvaller of als hij in staat is om netwerkverkeer te lezen.

De PAN-OS 8.0-versies hebben het einde van hun levensduur bereikt en zullen niet langer worden ondersteund/geüpdatet door de ontwikkelaars.

Eerder in juni zijn door Palo Alto extra kwetsbaarheden in de PAN-OS gepubliceerd, die in de laatste versies zijn opgelost.Controleer of de versie die binnen de organisatie wordt gebruikt, niet beïnvloed wordt door de laatste gepubliceerde kwetsbaarheden.

Aanbevolen acties

CERT.be raadt aan om alle laatste updates voor het Panorama Management Systeem te installeren die door de ontwikkelaars worden geleverd.
Het is ook aangeraden om de richtlijnen van de ontwikkelaars te volgen om uw applicatie en firewall correct in te stellen: