Palo Alto Networks repareert kritieke fout in Expedition Migration Tool

Palo Alto Networks heeft beveiligingsupdates uitgebracht om vijf beveiligingslekken te verhelpen die van invloed zijn op haar producten, waaronder een kritieke bug die kan leiden tot een omzeiling van authenticatie.

De kwetsbaarheid, gecatalogiseerd als CVE-2024-5910 (CVSS-score: 9,3), wordt beschreven als een geval van ontbrekende authenticatie in de Expedition-migratietool, wat kan leiden tot overname van een beheerdersaccount.

“Ontbrekende authenticatie voor een kritieke functie in Palo Alto Networks Expedition kan leiden tot een overname van het Expedition-beheerdersaccount voor aanvallers met netwerktoegang tot Expedition”, aldus het bedrijf in een advies. “Configuratiegeheimen, inloggegevens en andere gegevens die in Expedition worden geïmporteerd, lopen risico vanwege dit probleem.”

Het gebrek heeft invloed op alle versies van Expedition vóór versie 1.2.92, die het probleem verhelpt. Brian Hysell van Synopsys Cybersecurity Research Center (CyRC) wordt gecrediteerd voor het ontdekken en melden van het probleem.

Hoewel er geen bewijs is dat deze kwetsbaarheid in het wild is misbruikt, wordt gebruikers geadviseerd om te updaten naar de nieuwste versie om zichzelf te beschermen tegen mogelijke bedreigingen.

Als tijdelijke oplossing raadt Palo Alto Networks aan om de netwerktoegang tot Expedition te beperken tot geautoriseerde gebruikers, hosts of netwerken.

Het Amerikaanse cybersecuritybedrijf heeft ook een onlangs onthulde fout in het RADIUS-protocol opgelost, genaamd BlastRADIUS (CVE-2024-3596). Deze fout zou een kwaadwillende partij in staat kunnen stellen om een ​​’adversary-in-the-middle’-aanval (AitM) uit te voeren tussen de Palo Alto Networks PAN-OS-firewall en een RADIUS-server, om zo authenticatie te omzeilen.

Door de kwetsbaarheid kan de aanvaller ‘rechten verhogen naar ‘supergebruiker’ wanneer RADIUS-authenticatie wordt gebruikt en CHAP of PAP is geselecteerd in het RADIUS-serverprofiel’, aldus het rapport.

De volgende producten hebben last van de tekortkomingen:

  • PAN-OS 11.1 (versies < 11.1.3, opgelost in >= 11.1.3)
  • PAN-OS 11.0 (versies < 11.0.4-h4, opgelost in >= 11.0.4-h4)
  • PAN-OS 10.2 (versies < 10.2.10, opgelost in >= 10.2.10)
  • PAN-OS 10.1 (versies < 10.1.14, opgelost in >= 10.1.14)
  • PAN-OS 9.1 (versies < 9.1.19, opgelost in >= 9.1.19)
  • Prisma Access (alle versies, fix wordt naar verwachting op 30 juli uitgebracht)

Ook werd opgemerkt dat noch CHAP noch PAP gebruikt zouden moeten worden tenzij ze ingekapseld zijn door een gecodeerde tunnel, aangezien de authenticatieprotocollen geen Transport Layer Security (TLS) bieden. Ze zijn niet kwetsbaar in gevallen waarin ze gebruikt worden in combinatie met een TLS-tunnel.

Het is echter belangrijk om op te merken dat PAN-OS-firewalls die zijn geconfigureerd om EAP-TTLS te gebruiken met PAP als authenticatieprotocol voor een RADIUS-server, ook niet vatbaar zijn voor de aanval.

Thijs Van der Does