Alertas de seguridad

Múltiples vulnerabilidades en PAN - OS

Panorama ofrece administración centralizada de políticas y dispositivos en una red de firewalls de nueva generación de Palo Alto Networks.  

Múltiples vulnerabilidades en PAN – OS

Una vulnerabilidad de cadena de formato en el demonio de registro PAN-OS (logd) en Panorama permite que un usuario local ejecute código arbitrario, evitando la shell restringida y escalando privilegios mediante cadenas controladas externamente.

Cuando un atacante puede modificar una cadena de formato controlada externamente, puede provocar desbordamientos del búfer, denegación de servicio o problemas de representación de datos. El impacto que pueden generar este tipo de vulnerabilidades son:

  • Divulgación de información que puede simplificar severamente la explotación del programa.
  • Ejecución de código arbitrario.

Este problema afecta solo a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.13 en Panorama, sin embargo, no afecta a PAN-OS 7.1, PAN-OS 9.0 o versiones posteriores de PAN-OS.

 

Vulnerabilidad de inyección de comandos en la shell de PAN-OS 

 

Una vulnerabilidad de inyección de comandos en la shell - CLI (Command Line Interface) de PAN-OS, permite a un usuario local autenticado escapar del shell restringido y escalar privilegios mediante la neutralización incorrecta de elementos especiales utilizados en un comando, esto se conoce como inyección de código. Si un usuario malintencionado inyecta un carácter especial que delimita el final de un comando y el comienzo de otro, puede ser posible insertar un comando completamente nuevo que no estaba destinado a ejecutarse.

Vulnerabilidad de inyección de comandos en la shell de PAN-OS

Este tipo de vulnerabilidades ocurren cuando el software construye todo o parte de un comando utilizando una entrada influenciada externamente desde un componente ascendente, pero no valida los elementos especiales que podrían modificar el comando deseado cuando se envía a un componente descendente.

  • Los datos ingresan a la aplicación desde una fuente no confiable.
  • Los datos son parte de una cadena que la aplicación ejecuta como un comando.
  • Al ejecutar el comando, la aplicación le otorga al atacante un privilegio o capacidad que el atacante no tendría de otra manera.

Este problema afecta solo a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.13 en Panorama, sin embargo, no afecta a PAN-OS 7.1, PAN-OS 9.0 o versiones posteriores de PAN-OS.

 

Vulnerabilidad de nombre predecible en un archivo temporal de PAN-OS


Una vulnerabilidad de nombre predecible en un archivo temporal de PAN-OS permite escalamiento de privilegios locales. Este problema permite que un atacante local omita la shell restringida y ejecute comandos como un usuario con pocos privilegios; obteniendo acceso de súper usuario, root, en el hardware o dispositivo virtual de PAN-OS.

vulnerabilidad de nombre predecible en un archivo temporal de PAN-OS

La creación y el uso de archivos temporales inseguros pueden hacer que la aplicación y los datos del sistema sean vulnerables a los ataques, es decir, un atacante puede tener acceso inapropiado al recurso.

Este problema afecta solo a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.13 en Panorama, sin embargo, no afecta a PAN-OS 7.1, PAN-OS 9.0 o versiones posteriores de PAN-OS.

Acciones recomendadas 

  • Este problema se soluciona en PAN-OS 8.1.13 y todas las versiones posteriores de PAN-OS 8.1.
  • Estos fallos de seguridad afectan directamente la interfaz de administración de PAN-OS y pueden ser mitigados siguiendo las mejores prácticas para asegurar la interfaz de administración
  • Aislar la red de gestión, configurar la interfaz de administración en una VLAN de administración dedicada.
  • Restringir los servicios que están disponibles en la interfaz de administración.
  • No permitir el acceso a través de Telnet y HTTP porque estos servicios usan texto sin formato y no son tan seguros y podrían comprometer las credenciales del administrador.
  • Mantener el firewall actualizado con contenido y actualizaciones de software emitidas por el fabricante para garantizar que siempre esté protegido por los últimos parches de seguridad y actualizaciones de amenazas.
  • Limitar las direcciones IP de origen permitidas en la red de administración.
  • Usar la política de autenticación con autenticación multifactor ( MFA ) para exigir a los administradores que se autentiquen con éxito antes de permitirles continuar a la página de inicio.
  • No utilizar un perfil de administración de interfaz que permita HTTP, HTTPS, Telnet o SSH en la interfaz donde ha configurado un portal, esto expone el acceso a la interfaz de administración a través de Internet.
  • Si es necesario el acceso remoto a la red de administración, de debe solicitar el acceso a través de un túnel VPN.
  • Configurar una cuenta de administrador de firewall para cada individuo que necesita acceso a las funciones administrativas o de informes del firewall. Esto permite proteger mejor el firewall de configuraciones no autorizadas y permitir el registro de las acciones de cada administrador individual.