Vulnerabilidades en productos de Palo Alto Networks
Se han publicado múltiples vulnerabilidades de criticidad alta.
Riesgo: Crítico
Un atacante podría escalar privilegios, acceder como root, ejecutar código, sobreescribir archivos del sistema y/o provocar denegación del servicio.
La mayoría de vulnerabilidades están enfocadas al software del cliente Windows y Linux (Agentes):
- CVE-2020-1984 Secdo: podría permitir a un usuario local, autentificado, acceder a la raíz del disco del sistema operativo (C:\).
- CVE-2020-1985 Secdo: permisos incorrectos permiten a los usuarios autenticados locales sobrescribir archivos y obtener privilegios escalados.
- CVE-2020-1989 GlobalProtect Agent: un problema de asignación de privilegios al escribir archivos específicos permite la escalada de privilegios locales.
- CVE-2020-1991 Traps: un problema de archivo temporal inseguro permite obtener privilegios elevados o sobrescribir archivos.
También destacamos las que afectan al propio Firewall:
- CVE-2020-1990 PAN-OS: permite a un usuario remoto ejecutar código arbitrario en el sistema de destino.
- CVE-2020-1992 PAN-OS: en la serie PA-7000. Permite a un atacante remoto ejecutar código arbitrario en el sistema de destino.
Sistemas Afectados:
- PAN-OS: versiones anteriores a la 8.1.13 y la 9.0.7 en las series PA-7000 con LFC; no afecta a PAN-OS 7.1.
- Secdo: todas las versiones para Windows.
- GlobalProtect Agent: versiones anteriores a la 5.0.8 y la 5.1.1 para Linux ARM.
- Traps: versiones anteriores a la 5.0.8 y la 6.1.4 para Windows.
Referencias: CVE-2020-1990, CVE-2020-1992, CVE-2020-1984, CVE-2020-1985, CVE-2020-1989, CVE-2020-1991
Solución:
- Actualizar a PAN-OS 8.1.13, 9.0.7, 9.1.2 o versiones posteriores.
- Actualizar a GlobalProtect Agent 5.0.8, 5.1.1 o versiones posteriores.
- Actualizar a Traps 5.0.8, 6.1.4 o versiones posteriores.
- Secdo carece de soporte. Los problemas pueden ser completamente mitigados:
1. Asegurando que los usuarios sin privilegios no tengan acceso a "crear carpeta" en la raíz del sistema de archivos como C:\ o en una carpeta llamada C:\Common
2. Cambiando el permiso en la carpeta C:\N-Programdata\N-Secdo\N-Logs para no permitir el acceso a usuarios sin privilegios.
Notas: