www.belgium.be Logo of the federal government

Nieuwe kwetsbaarheden in PAN OS (RCE & DoS)

Referentie: 
Advisory #2020-029
Versie: 
1.0
Geïmpacteerde software: 
PAN OS 8.0
PAN OS 8.1
PAN OS 8.2
PAN OS 9.0
PAN OS 9.1
Type: 
Denial of Service (DoS), Remote Code Execution (RCE), Cross Site Scripting (XXS)
CVE/CVSS: 

CVE-2020-2040 – CVSS : 9.8
CVE-2020-2036 – CVSS : 8.8
CVE-2020-2041 – CVSS : 7.5

Datum: 
14/09/2020

Bronnen

https://security.paloaltonetworks.com/CVE-2020-2040
https://security.paloaltonetworks.com/CVE-2020-2036
https://security.paloaltonetworks.com/CVE-2020-2041

Risico’s

De buffer overflow kwetsbaarheid in PAN-OS firewall zou een niet-geauthenticeerde aanvaller in staat kunnen stellen om het systeemproces te verstoren en ook om willekeurige code met root-rechten uit te voeren door een kwaadwillig verzoek naar de Multi-Factor Authenticated interface te sturen.

De PAN-OS-webbeheerinterface is kwetsbaar voor Reflected Cross-Site Scripting (XXS) en Denial-of-Service (Dos) aanvallen.

De PAN-OS webbeheerinterface stelt een aanvaller op afstand in staat om een systeembeheerder met een geauthenticeerde sessie op de firewallbeheerinterface te overtuigen om op een bewerkte link naar die beheer-webinterface te klikken. Zo kan de aanvaller willekeurige JavaScript-code in de browser van de beheerder uitvoeren en administratieve handelingen verrichten.

De DoS kwetsbaarheid maakt het mogelijk dat een externe niet-geauthenticeerde gebruiker een specifiek verzoek naar het apparaat stuurt dat de appweb service laat crashen.

Beschrijving

De beveiligingsfouten bevinden zich in de PAN-OS firewall software en de PAN-OS web management interface.

De kwetsbaarheid van de buffer overflow wordt gevolgd als "CVE-2020-2040" en de ernst ervan wordt als kritiek bestempeld. Deze fout treft alle versies van PAN-OS 8.0, PAN-OS 8.1-versies eerder dan PAN-OS 8.1.15, PAN-OS 9.0-versies eerder dan PAN-OS 9.0.9, PAN-OS 9.1-versies eerder dan PAN-OS 9.1.3. Succesvolle exploitatie van deze kwetsbaarheid zou een aanvaller in staat kunnen stellen het systeem te verstoren en mogelijk willekeurige code uit te voeren.

De Cross-Site-Scripting kwetsbaarheid -CVE-2020-2036, beïnvloedt de webbeheerinterface van PAN-OS 8.1-versies eerder dan PAN-OS 8.1.16 en PAN-OS 9.0-versies eerder dan PAN-OS 9.0.9.

De Denial-of-Service (DoS) kwetsbaarheid - CVE-2020-2041 heeft invloed op de PAN-OS 8.1 webbeheerinterface. Deze kwetsbaarheid maakt het mogelijk dat een niet-geauthenticeerde gebruiker op afstand een specifiek verzoek naar het apparaat kan sturen, waardoor de appweb service vastloopt. Herhaalde pogingen om dit verzoek te verzenden leiden tot een denial of service naar alle PAN-OS services door het apparaat opnieuw op te starten en in de onderhoudsmodus te zetten.

Aanbevolen acties

CERT.be raadt systeembeheerders aan om de best practices te volgen en zo snel mogelijk de nieuwste patches van de leverancier toe te passen.

Raadpleeg de onderstaande links:

- https://security.paloaltonetworks.com/CVE-2020-2040
- https://security.paloaltonetworks.com/CVE-2020-2036
- https://security.paloaltonetworks.com/CVE-2020-2041

Referenties

https://securityaffairs.co/wordpress/108127/hacking/palo-alto-networks-p...