Vulnerabilidades en productos de Palo Alto Networks

15/04/2020
Se han publicado múltiples vulnerabilidades de criticidad alta.

Riesgo: Crítico Crítico
Sistemas afectados:
  • PAN-OS: versiones anteriores a la 8.1.13 y la 9.0.7 en las series PA-7000 con LFC; no afecta a PAN-OS 7.1.
  • Secdo: todas las versiones para Windows.
  • GlobalProtect Agent: versiones anteriores a la 5.0.8 y la 5.1.1 para Linux ARM.
  • Traps: versiones anteriores a la 5.0.8 y la 6.1.4 para Windows.
Descripción:

Un atacante podría escalar privilegios, acceder como root, ejecutar código, sobreescribir archivos del sistema y/o provocar denegación del servicio.

La mayoría de vulnerabilidades están enfocadas al software del cliente Windows y Linux (Agentes):

  • CVE-2020-1984 Secdo: podría permitir a un usuario local, autentificado, acceder a la raíz del disco del sistema operativo (C:\).
  • CVE-2020-1985 Secdo: permisos incorrectos permiten a los usuarios autenticados locales sobrescribir archivos y obtener privilegios escalados.
  • CVE-2020-1989 GlobalProtect Agent: un problema de asignación de privilegios al escribir archivos específicos permite la escalada de privilegios locales.
  • CVE-2020-1991 Traps: un problema de archivo temporal inseguro permite obtener privilegios elevados o sobrescribir archivos.

También destacamos las que afectan al propio Firewall:

  • CVE-2020-1990 PAN-OS: permite a un usuario remoto ejecutar código arbitrario en el sistema de destino.
  • CVE-2020-1992 PAN-OS: en la serie PA-7000. Permite a un atacante remoto ejecutar código arbitrario en el sistema de destino.
Solución:
  • Actualizar a PAN-OS 8.1.13, 9.0.7, 9.1.2 o versiones posteriores.
  • Actualizar a GlobalProtect Agent 5.0.8, 5.1.1 o versiones posteriores.
  • Actualizar a Traps 5.0.8, 6.1.4 o versiones posteriores.
  • Secdo carece de soporte. Los problemas pueden ser completamente mitigados:

1. Asegurando que los usuarios sin privilegios no tengan acceso a "crear carpeta" en la raíz del sistema de archivos como C:\ o en una carpeta llamada C:\Common
2. Cambiando el permiso en la carpeta C:\N-Programdata\N-Secdo\N-Logs para no permitir el acceso a usuarios sin privilegios.

Fuente: Incibe-cert