それはCVE-2022-0030 とCVE-2022-40684 関連とはPAN-OSどちらにも脆弱ですか?
Question
それはCVE-2022-0030 とCVE-2022-40684 関連とはPAN-OSどちらにも脆弱ですか?
Environment
- パロアルトネットワーク Firewall
- CVE-2022-0030 とCVE-2022-40684
Answer
2022 年 10 月 10 日、フォーティネットは次のように報告しました。CVE-2022 -40684管理インターフェイスでのフォーティネット認証バイパス)、代替チャネルを使用した認証バイパスを可能にする脆弱性。この脆弱性は CVSSv3 の 9.6/10 としてリストされており、非常に重大な脆弱性となっています。この脆弱性は脆弱性を利用していますID:CWE-288 : 代替パスまたはチャネルを使用した認証バイパス。Palo Alto Networks の顧客は、PAN-OSは、同じエクスプロイトに対して脆弱でした。
2022 年 10 月 12 日、Palo Alto Networks はセキュリティ アドバイザリを公開しました。CVE-2022 -0030 (PAN-OS : Web インターフェイスでの認証バイパス)。これCVEのバージョンにのみ影響しますPAN-OSこの問題は 8.1.24 で修正されたため、8.1.24 より前PAN-OS8.1.24 以降PAN-OSバージョン。この脆弱性は脆弱性を利用していますID:CWE-290 :なりすましによる認証バイパス。
2 つの CVE は表面上は似ているように見えるかもしれませんが、どちらも認証バイパスに関連する最近の CVE であるため、2 つの脆弱性は関連しておらず、同じ攻撃ベクトルを利用していません。
その点に注意してくださいPAN-OS8.1 はソフトウェアのサポート終了 (EoL) に達しており、PA-200 、PA-500 、 とPA-5000シリーズ ファイアウォール以降M-100それぞれのアプライアンスまでのみhardware販売終了日: https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware -end-of-life-dates.html .
攻撃に重点を置いた脆弱性は、不適切に実装された認証方式が原因で、アーキテクチャのセキュリティ戦術に関連する不適切な設計によるスプーフィング攻撃を受けやすくなっています。
この問題は、実装された認証メカニズムが依存している場合に発生します。DNSルックアップまたはIPソース検証用のアドレス。 攻撃者がスプーフィングできる場合IPまたは毒DNSキャッシュを使用すると、認証メカニズムをバイパスできる可能性があります。
IP アドレスはより信頼性が高いDNS名前ですが、なりすましの可能性もあります。 攻撃者はソースを簡単に偽造できるIPそれらが送信するパケットのアドレスですが、応答パケットは偽造されたアドレスに戻りますIP住所。 応答パケットを確認するには、攻撃者は被害者のマシンと偽造されたマシンの間のトラフィックを傍受する必要があります。IP住所。 必要なスニッフィングを実行するために、攻撃者は通常、被害者のマシンと同じサブネットに自分自身を配置しようとします。
攻撃者は、ソース ルーティングを使用してこの要件を回避できる可能性がありますが、現在、インターネットの多くでソース ルーティングが無効になっています。
IP アドレス検証は、認証スキームの有用な部分になる可能性がありますが、認証に必要な単一の要素であってはなりません。
のバージョンへの最適なアップグレードPAN-OS8.1.24 以降が最適なオプションです。ただし、Threat Prevention サブスクリプションをお持ちのお客様は、Threat を使用して、この脆弱性に対する既知の攻撃をブロックできます。ID 92720 (アプリケーションと脅威のコンテンツ更新 8630-7638)。
この問題を悪用するには、攻撃者はネットワークにアクセスできる必要があります。PAN-OSウェブインターフェース。 を保護するためのベスト プラクティスに従うことで、この問題の影響を軽減できます。PAN-OSウェブインターフェース。
の管理アクセスを保護するためのベスト プラクティスを確認してください。PAN-OS技術文書。
もしもCVE-2022-40684 はあなたの懸念事項です。TID :93146 - 「Fortinet の複数製品の認証バイパスの脆弱性 (CVE-2022 -40684)」は、コンテンツ バージョン 8631 でリリースされました。
Additional Information
- https://cwe.mitre.org/data/definitions/290
- https://security.paloaltonetworks.com/CVE-2022 -0030
- https://www.fortiguard.com/psirt/FG-IR- 22-377
- https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/
- https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices