De Amerikaanse overheid spoort gebruikers van Palo Alto Networks netwerkapparaten aan om een patch te installeren. Met de patch wordt een ernstige kwetsbaarheid opgelost die gebruikt kan worden door buitenlandse bedreigingsgroepen.
De kwetsbaarheid is gevonden in PAN-OS, het besturingssysteem dat draait op de next-generation firewalls en virtual private netwerktoepassingen van Palo Alto. Officieel wordt de kwetsbaarheid CVE-2020-2021 genoemd.
De CVE-2020-2021 kwetsbaarheid maakt het voor hackers mogelijk om authentificatie te omzeilen, waardoor ze op afstand toegang tot apparaten kunnen krijgen en deze vervolgens ook kunnen besturen. Zodra een aanvaller toegang heeft, kan hij ook de instellingen veranderen, het beleid voor toegangscontrole aanpassen en willekeurige code uitvoeren. Hiermee opent een aanvaller de deuren om een netwerk of systeem volledig over te nemen.
Kwetsbaarheid in veelvoorkomende setup
Palo Alto reageerde snel op het ontdekken van de kwetsbaarheid. Deze maandag bracht het bedrijf en veiligheidsadvies en patch uit om potentiële aanvallen te voorkomen. Opvallend is dat de kwetsbaarheid alleen van toepassing is op apparaten waar de Security Assertion Markup Language authentificatie is geactiveerd en de Validate Identity Provider Certificate-optie is uitgeschakeld. Als een van deze instellingen anders staat, kunnen hackers geen misbruik maken van de kwetsbaarheid.
“Deze exploit op afstand wordt geactiveerd door een veelvoorkomende setup van Palo Alto apparatuur, namelijk door identity provider certificate-verificatie te omzeilen en SAML te gebruiken voor back-end authorisatiediensten.” Zo vertelt Bryan Skene, chief technology officer van Tempered Networks Inc. aan SiliconANGLE.
“Nu deze kwetsbaarheden zijn aangekaart, is het risico dat ook andere kwetsbaarheden worden gevonden bijna onvermijdelijk. Het gaat er niet om of aanvallers manieren vinden om in het netwerk te dringen, maar wanneer dat gebeurt”, zegt Warren Poschman, senior solutions architect bij gegevensbeveiligingsbedrijf Comforte AG. “Organisaties moeten niet alleen hun netwerken beschermen, maar ook de data waar de aanvallers het op gemunt hebben.