¿Están CVE-2022relacionados -0030 y -40684 y CVE-2022es PAN-OS vulnerable a cualquiera de los dos?

¿Están CVE-2022relacionados -0030 y -40684 y CVE-2022es PAN-OS vulnerable a cualquiera de los dos?

• Red de Palo Alto Firewall
• CVE-2022-0030 y CVE-2022-40684

El 10 de octubre de 2022, Fortinet informó CVE-2022-40684 Fortinet Authentication bypass on administrative interface), una vulnerabilidad que permite omitir la autenticación utilizando canales alternativos.Esta vulnerabilidad aparece como CVSSv3 9.6 de 10, lo que la convierte en una vulnerabilidad altamente crítica.Esta vulnerabilidad utiliza Debilidad ID: CWE-288: omisión de autenticación mediante una ruta o canal alternativo.  Los clientes de Palo Alto Networks han expresado su preocupación sobre si PAN-OS era vulnerable al mismo exploit.

El 12 de octubre de 2022, Palo Alto Networks publicó un aviso de seguridad para CVE-2022-0030 (PAN-OS: Bypass de autenticación en la interfaz web).Esto CVE solo afecta a las versiones anteriores PAN-OS a 8.1.24, ya que este problema se corrigió en 8.1.24 y en PAN-OS todas las versiones posteriores PAN-OS .Esta vulnerabilidad utiliza Debilidad ID: CWE-290: Autenticación Bypass by Spoofing.

Si bien los dos CVE pueden parecer similares en la superficie, ya que ambos son CVE recientes relacionados con la omisión de autenticación, las dos vulnerabilidades no están relacionadas y no utilizan el mismo vector de ataque.

Tenga en cuenta que PAN-OS 8.1 ha llegado al final de su vida útil (EoL) de software y solo es compatible con PA-200firewalls de las series , y en M-100 dispositivos y PA-5000 solo hasta cada una de sus respectivas hardware fechas de EoL: https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware fechas de fin dePA-500 vida útil.html.

La debilidad centrada en el ataque es causada por esquemas de autenticación implementados incorrectamente que están sujetos a ataques de suplantación de identidad debido a un diseño incorrecto relacionado con una táctica de seguridad arquitectónica.

El problema surge cuando los mecanismos de autenticación implementados se basan en la búsqueda o IP la dirección para la DNS validación de origen. Si un atacante puede suplantar o IP envenenar la DNS memoria caché, es posible que pueda eludir el mecanismo de autenticación.

IP Las direcciones son más confiables que DNS los nombres, pero también pueden ser falsificadas. Los atacantes pueden falsificar fácilmente la dirección de origen IP de los paquetes que envían, pero los paquetes de respuesta volverán a la dirección falsificada IP . Para ver los paquetes de respuesta, el atacante tiene que olfatear el tráfico entre la máquina víctima y la dirección falsificada IP . Para lograr el rastreo requerido, los atacantes generalmente intentan ubicarse en la misma subred que la máquina víctima.

Los atacantes pueden eludir este requisito mediante el enrutamiento de origen, pero el enrutamiento de origen está deshabilitado en gran parte de Internet en la actualidad.

IP La verificación de direcciones puede ser una parte útil de un esquema de autenticación, pero no debe ser el único factor requerido para la autenticación.

 

La mejor opción sería actualizar de forma óptima a una versión de 8.1.24 o superior; sin embargo, los clientes con una suscripción a Threat Prevention pueden bloquear los ataques conocidos para esta vulnerabilidad con Threat ID 92720 (actualización de contenido de PAN-OS aplicaciones y amenazas 8630-7638).

Para aprovechar este problema, el atacante debe tener acceso de red a la PAN-OS interfaz web. Puede mitigar el impacto de este problema siguiendo las prácticas recomendadas para proteger la PAN-OS interfaz web.

Revise las prácticas recomendadas para proteger el acceso administrativo en la PAN-OS documentación técnica.  

Si CVE-2022-40684 es su preocupación, TID:93146 - "Fortinet Multiple Products Authentication Bypass Vulnerability (CVE-2022-40684)" se publicó en la versión de contenido 8631.

• https://cwe.mitre.org/data/definitions/290
• https://security.paloaltonetworks.com/CVE-2022-0030
• https://www.fortiguard.com/psirt/FG-IR- 22-377
• https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/
• https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices