Logo
Hamburger Menu Icon
Yoroi Background

Grave Vulnerabilità in Appliance Palo Alto

06/30/2020

Proto: N070620.

Con la presente Yoroi desidera informarla riguardo alla recente scoperta di una grave vulnerabilità all’interno dei dispositivi di sicurezza Palo Alto, appliance diffusi in numerose realtà di tipo Enterprise. La criticità è nota con l’identificativo CVE-2020-2021.

La problematica è originata da gravi falle nel modulo di autenticazione SAML presente all’interno dei firmware PAN-OS, modulo utilizzato per la realizzazione di architetture Single Sign On (SSO). La particolare falla rende possibile ad un attaccante di rete di bypassare le procedure di autenticazione ed accedere alle risorse protette dal modulo di autenticazione dell’appliance vulnerabile, senza dover fornire alcuna credenziale.

Il Vendor ha confermato la problematica con un apposito bollettino di sicurezza rilasciando aggiornamenti per le versioni vulnerabili di PAN-OS. In dettaglio:

  • PAN-OS 9.1 precedenti a PAN-OS 9.1.3
  • PAN-OS 9.0 precedenti a PAN-OS 9.0.9
  • PAN-OS 8.1 precedenti a PAN-OS 8.1.15
  • Tutte le versioni di PAN-OS 8.0 (EOL, fuori supporto)

Palo Alto ha inoltre confermato che la problematica affligge solamente gli appliance di sicurezza con modulo SAML abilitato per l'autenticazione e con opzione “Validate Identity Provider Certificate” disabilitata. Tuttavia, esistono varie guide di configurazione per l’integrazione di appliance Palo Alto in soluzioni di SSO come Duo, Centrify, Trusona, Okta o Microsoft Azure AD che indicano di mantenere l’opzione disabilitata durante l’attivazione di SAML.

Considerata la potenziale esposizione internet e criticità dei dispositivi afflitti, la relativa bassa complessità necessaria alla conduzione di attività di attacco e la tipologia di organizzazioni potenzialmente coinvolte, Yoroi consiglia caldamente di pianificare l’aggiornamento firmware dei dispositivi Palo Alto eventualmente in uso presso le Vostre infrastrutture, e di valutare l’applicazione delle mitigazioni suggerite dal Vendor nell’apposita guida resa disponibile.

Figura. Workflow suggerito per vulnerabilità PAN-OS

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram