Les -0030 et -40684 sont-ils liés et CVE-2022sont-ils CVE-2022PAN-OS vulnérables à l’un ou l’autre ?

Les -0030 et -40684 sont-ils liés et CVE-2022sont-ils CVE-2022PAN-OS vulnérables à l’un ou l’autre ?

• Réseau de Palo Alto Firewall
• CVE-2022-0030 et CVE-2022-40684

Le 10 octobre 2022, Fortinet a signalé CVE-2022-40684 Fortinet Authentication bypass on administrative interface), une vulnérabilité permettant de contourner l’authentification à l’aide d’autres canaux.Cette vulnérabilité est répertoriée comme CVSSv3 9.6 sur 10, ce qui en fait une vulnérabilité hautement critique.Cette vulnérabilité utilise la faiblesse ID: : CWE-288contournement de l’authentification à l’aide d’un autre chemin ou canal.  Les clients de Palo Alto Networks ont exprimé leur inquiétude quant à savoir s’ils PAN-OS étaient vulnérables au même exploit.

Le 12 octobre 2022, Palo Alto Networks a publié un avis de sécurité pour CVE-2022-0030 (PAN-OS: Authentication Bypass in Web Interface).Cela CVE n’affecte que les versions antérieures à PAN-OS 8.1.24, car ce problème est résolu dans PAN-OS la version 8.1.24 et toutes les versions ultérieures PAN-OS .Cette vulnérabilité utilise la faiblesse ID: CWE-290: Contournement de l’authentification par usurpation d’identité.

Bien que les deux CVE puissent sembler similaires en surface, car les deux sont des CVE récentes liées au contournement de l'authentification, les deux vulnérabilités ne sont pas liées et n'utilisent pas le même vecteur d'attaque.

Veuillez noter que la version 8.1 a atteint sa fin de vie logicielle (EoL) et n’est prise en charge que PAN-OS sur PA-200les pare-feu de la série , et sur M-100 les appliances et uniquement jusqu’à chacune de leurs dates de fin de vie respectives : dates de fin de PA-500PA-5000 vie https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardwarehardware.html.

La faiblesse axée sur les attaques est causée par des schémas d’authentification mal implémentés qui sont soumis à des attaques d’usurpation d’identité en raison d’une conception incorrecte liée à une tactique de sécurité architecturale.

Le problème se pose lorsque les mécanismes d’authentification implémentés reposent sur la recherche ou IP l’adresse DNS pour la validation de la source. Si un attaquant est capable d’usurper le cache ou d’empoisonner le cache, il peut être en mesure de contourner le DNS mécanisme d’authentificationIP.

IP Les adresses sont plus fiables que DNS les noms, mais elles peuvent également être usurpées. Les attaquants peuvent facilement falsifier l’adresse source IP des paquets qu’ils envoient, mais les paquets de réponse reviendront à l’adresse falsifiée IP . Pour voir les paquets de réponse, l’attaquant doit renifler le trafic entre l’ordinateur victime et l’adresse falsifiée IP . Afin d’effectuer le reniflage requis, les attaquants tentent généralement de se localiser sur le même sous-réseau que l’ordinateur victime.

Les attaquants peuvent contourner cette exigence en utilisant le routage source, mais le routage source est désactivé sur une grande partie d’Internet aujourd’hui.

IP La vérification d’adresse peut être une partie utile d’un schéma d’authentification, mais elle ne doit pas être le seul facteur requis pour l’authentification.

 

Une mise à niveau optimale vers une version 8.1.24 PAN-OS ou ultérieure serait la meilleure option ; toutefois, les clients disposant d’un abonnement à la prévention des menaces peuvent bloquer les attaques connues pour cette vulnérabilité avec la menace ID 92720 (mise à jour de contenu Applications et menaces 8630-7638).

Pour exploiter ce problème, l’attaquant doit disposer d’un accès réseau à l’interface PAN-OS Web. Vous pouvez atténuer l’impact de ce problème en suivant les meilleures pratiques pour sécuriser l’interface PAN-OS Web.

Consultez les Meilleures pratiques pour sécuriser l’accès administratif dans la PAN-OS documentation technique.  

Si CVE-2022-40684 vous préoccupe, TID:93146 - « Fortinet Multiple Products Authentication Bypass Vulnerability (CVE-2022-40684) » a été publié dans la version de contenu 8631.

• https://cwe.mitre.org/data/definitions/290
• https://security.paloaltonetworks.com/CVE-2022-0030
• https://www.fortiguard.com/psirt/FG-IR- 22-377
• https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/
• https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices