A Palo Alto Networks lançou atualizações de segurança para corrigir cinco falhas de segurança que afetam seus produtos, incluindo um bug crítico que pode levar a um desvio de autenticação.
Catalogada como CVE-2024-5910 (pontuação CVSS: 9,3), a vulnerabilidade foi descrita como um caso de autenticação ausente na ferramenta de migração Expedition, o que pode levar à tomada de controle da conta de administrador.
“A autenticação ausente para uma função crítica no Palo Alto Networks Expedition pode levar a uma tomada de conta de administrador do Expedition para invasores com acesso de rede ao Expedition”, disse a empresa em um comunicado. “Segredos de configuração, credenciais e outros dados importados para o Expedition estão em risco devido a esse problema.”
A falha afeta todas as versões do Expedition anteriores à versão 1.2.92, que corrige o problema. Brian Hysell, do Synopsys Cybersecurity Analysis Middle (CyRC), foi creditado por descobrir e relatar o problema.
Embora não haja evidências de que a vulnerabilidade tenha sido explorada, os usuários são aconselhados a atualizar para a versão mais recente para se protegerem contra possíveis ameaças.
Como soluções alternativas, a Palo Alto Networks recomenda que o acesso à rede do Expedition seja restrito a usuários, hosts ou redes autorizados.
A empresa americana de segurança cibernética também corrigiu uma falha recentemente divulgada no protocolo RADIUS, chamada BlastRADIUS (CVE-2024-3596), que poderia permitir que um criminoso com capacidade de executar um ataque de adversário no meio (AitM) entre o firewall PAN-OS da Palo Alto Networks e um servidor RADIUS para contornar a autenticação.
A vulnerabilidade então permite que o invasor “aumente os privilégios para 'superusuário' quando a autenticação RADIUS estiver em uso e CHAP ou PAP estiver selecionado no perfil do servidor RADIUS”, disse.
Os seguintes produtos são afetados pelas deficiências:
- PAN-OS 11.1 (versões < 11.1.3, corrigido em >= 11.1.3)
- PAN-OS 11.0 (versões < 11.0.4-h4, corrigido em >= 11.0.4-h4)
- PAN-OS 10.2 (versões < 10.2.10, corrigido em >= 10.2.10)
- PAN-OS 10.1 (versões < 10.1.14, corrigido em >= 10.1.14)
- PAN-OS 9.1 (versões < 9.1.19, corrigido em >= 9.1.19)
- Prisma Entry (todas as versões, correção prevista para ser lançada em 30 de julho)
Também observou que nem CHAP nem PAP devem ser usados a menos que sejam encapsulados por um túnel criptografado, já que os protocolos de autenticação não oferecem Transport Layer Safety (TLS). Eles não são vulneráveis em casos em que são usados em conjunto com um túnel TLS.
No entanto, vale a pena notar que os firewalls PAN-OS configurados para usar EAP-TTLS com PAP como protocolo de autenticação para um servidor RADIUS também não são suscetíveis ao ataque.