是CVE-2022-0030 和CVE-2022-40684 相关并且是PAN-OS容易受到任何影响？

是CVE-2022-0030 和CVE-2022-40684 相关并且是PAN-OS容易受到任何影响？

• 帕洛阿尔托网络 Firewall
• CVE-2022-0030 和CVE-2022-40684

2022年10月10日，Fortinet报道CVE-2022-40684 Fortinet 身份验证绕过管理界面），一个允许使用备用通道绕过身份验证的漏洞。此漏洞被列为 CVSSv3 9.6（满分 10），使其成为高度严重的漏洞。该漏洞利用弱点ID:CWE-288 : 使用备用路径或通道绕过身份验证。Palo Alto Networks 客户表示担心是否PAN-OS容易受到同样的攻击。

2022 年 10 月 12 日，Palo Alto Networks 发布了针对CVE-2022-0030 (PAN-OS ：Web 界面中的身份验证绕过）。这CVE只影响版本PAN-OS早于 8.1.24，因为此问题已在PAN-OS8.1.24 及更高版本PAN-OS版本。该漏洞利用弱点ID:CWE-290 ：通过欺骗绕过身份验证。

虽然这两个 CVE 表面上看起来很相似，因为它们都是最近与身份验证绕过相关的 CVE，但这两个漏洞并不相关，也不使用相同的攻击向量。

请注意PAN-OS8.1 已达到其软件生命周期结束 (EoL)，仅在PA-200,PA-500 ， 和PA-5000系列防火墙等M-100电器，直到他们各自的每个hardwareEoL 日期： https://www.paloaltonetworks.com/services/support/end-of-life-announcements/hardware -end-of-life-dates.html .

以攻击为中心的弱点是由不正确实施的身份验证方案引起的，这些方案由于与架构安全策略相关的不正确设计而受到欺骗攻击。

当实施的身份验证机制依赖于DNS查找或IP来源验证地址。 如果攻击者能够欺骗IP或毒死DNS缓存，他们可能能够绕过身份验证机制。

IP 地址比DNS名称，但它们也可以被欺骗。 攻击者可以轻松伪造源代码IP他们发送的数据包的地址，但响应数据包将返回到伪造的IP地址。 要查看响应数据包，攻击者必须嗅探受害机器和伪造机器之间的流量IP地址。 为了完成所需的嗅探，攻击者通常会尝试将自己定位在与受害机器相同的子网上。

攻击者可能能够通过使用源路由来规避此要求，但当今大部分 Internet 都禁用了源路由。

IP 地址验证可以是身份验证方案的一个有用部分，但它不应该是身份验证所需的单一因素。

优化升级到一个版本PAN-OS8.1.24 或更高版本将是最佳选择；但是，具有威胁防护订阅的客户可以通过威胁阻止针对此漏洞的已知攻击ID92720（应用程序和威胁内容更新 8630-7638）。

要利用此问题，攻击者必须能够访问PAN-OS网页界面。 您可以通过遵循确保安全的最佳做法来减轻此问题的影响PAN-OS网页界面。

请查看保护管理访问的最佳实践PAN-OS技术文档。

如果CVE-2022-40684 是你关心的问题，TID :93146 - “Fortinet 多产品身份验证绕过漏洞 (CVE-2022 -40684)”在内容版本 8631 中发布。

• https://cwe.mitre.org/data/definitions/290
• https://security.paloaltonetworks.com/CVE-2022 -0030
• https://www.fortiguard.com/psirt/FG-IR- 22-377
• https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/
• https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices