Sind CVE-2022-0030 und -40684 verwandt und CVE-2022anfällig PAN-OS für beides?

Sind CVE-2022-0030 und -40684 verwandt und CVE-2022anfällig PAN-OS für beides?

• Palo Alto Netzwerk Firewall
• CVE-2022-0030 und CVE-2022-40684

Am 10. Oktober 2022 meldete Fortinet CVE-2022-40684 Fortinet Authentication Bypass on Administration Interface), eine Sicherheitslücke, die die Umgehung der Authentifizierung über alternative Kanäle ermöglicht.Diese Schwachstelle wird als CVSSv3 9.6 von 10 gelistet, was sie zu einer sehr kritischen Schwachstelle macht.Diese Schwachstelle nutzt Schwachstelle ID: : CWE-288Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal.  Kunden von Palo Alto Networks haben ihre Besorgnis darüber geäußert, ob PAN-OS sie für denselben Exploit anfällig sind.

Am 12. Oktober 2022 veröffentlichte Palo Alto Networks einen Sicherheitshinweis für CVE-2022-0030 (PAN-OS: Authentication Bypass in Web Interface).Dies CVE betrifft nur Versionen vor 8.1.24, da dieses Problem in PAN-OS 8.1.24 und allen späteren PAN-OS Versionen PAN-OS behoben wurde.Diese Schwachstelle nutzt Schwachstelle ID: CWE-290: Authentifizierungsumgehung durch Spoofing.

Während die beiden CVEs auf den ersten Blick ähnlich erscheinen mögen, da es sich bei beiden um aktuelle CVEs im Zusammenhang mit der Umgehung der Authentifizierung handelt, sind die beiden Schwachstellen nicht verwandt und verwenden nicht denselben Angriffsvektor.

Bitte beachten Sie, dass 8.1 das Software-End-of-Life (EoL) erreicht hat und nur auf , , PAN-OS und PA-5000 Series-Firewalls sowie auf PA-200M-100 PA-500Appliances und nur bis zu den jeweiligen hardware EoL-Daten unterstützt wird: https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware-End-of-Life-Dates.html.

Die angriffsorientierte Schwachstelle wird durch falsch implementierte Authentifizierungsschemata verursacht, die aufgrund eines fehlerhaften Designs im Zusammenhang mit einer architektonischen Sicherheitstaktik Spoofing-Angriffen ausgesetzt sind.

Das Problem tritt auf, wenn implementierte Authentifizierungsmechanismen für die Quellüberprüfung auf DNS Lookup oder IP Adresse angewiesen sind. Wenn ein Angreifer in der Lage ist, den Cache zu fälschen oder zu DNS vergiften, kann er möglicherweise den IP Authentifizierungsmechanismus umgehen.

IP Adressen sind zuverlässiger als DNS Namen, können aber auch gefälscht werden. Angreifer können die Quelladresse IP der von ihnen gesendeten Pakete leicht fälschen, aber Antwortpakete kehren an die gefälschte IP Adresse zurück. Um die Antwortpakete zu sehen, muss der Angreifer den Datenverkehr zwischen dem Opfercomputer und der gefälschten Adresse ausspionieren IP . Um das erforderliche Sniffing zu erreichen, versuchen Angreifer in der Regel, sich im selben Subnetz wie der Opfercomputer zu befinden.

Angreifer können diese Anforderung möglicherweise umgehen, indem sie Quellrouting verwenden, aber das Quellrouting ist heute in weiten Teilen des Internets deaktiviert.

IP Die Adressüberprüfung kann ein nützlicher Bestandteil eines Authentifizierungsschemas sein, sollte jedoch nicht der einzige Faktor sein, der für die Authentifizierung erforderlich ist.

 

Ein optimales Upgrade auf eine Version von PAN-OS 8.1.24 oder höher wäre die beste Option. Kunden mit einem Threat Prevention-Abonnement können jedoch bekannte Angriffe für diese Sicherheitsanfälligkeit mit Threat ID 92720 (Inhaltsupdate für Anwendungen und Bedrohungen 8630-7638) blockieren.

Um dieses Problem auszunutzen, muss der Angreifer Netzwerkzugriff auf die PAN-OS Weboberfläche haben. Sie können die Auswirkungen dieses Problems mindern, indem Sie bewährte Methoden zum Sichern der PAN-OS Weboberfläche befolgen.

Bitte lesen Sie die Best Practices für die Sicherung des administrativen Zugriffs in der PAN-OS technischen Dokumentation.  

Wenn CVE-2022-40684 Ihr Anliegen ist, TID:93146 - "Fortinet Multiple Products Authentication Bypass Vulnerability (CVE-2022-40684)" wurde in der Inhaltsversion 8631 veröffentlicht.

• https://cwe.mitre.org/data/definitions/290
• https://security.paloaltonetworks.com/CVE-2022-0030
• https://www.fortiguard.com/psirt/FG-IR- 22-377
• https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/
• https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices