1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读
  3. 网络安全

大流行封锁期间每天对RDP进行超过10万次暴力攻击

帕洛阿尔托网络

Palo Alto Networks披露了在其所有下一代防火墙的操作系统(PAN-OS)中发现的一个严重漏洞,该漏洞可能允许未经身份验证的基于网络的攻击者绕过身份验证。

根据该公司的网站,PAN‑OS是为其所有下一代防火墙提供支持的软件。

“启用安全性声明标记语言(SAML)身份验证并禁用(验证身份提供者证书)选项时(未选中),PAN-OS SAML身份验证中签名的不正确验证会使未经身份验证的基于网络的攻击者访问受保护的资源,”该公司的安全建议如下

虽然通常不应禁用“验证身份提供者证书”选项,但这是Rapid7的Bob Rudis发现的MicrosoftOktaPing IdentityDuoSecureAuth提供的官方部署指南中的推荐选择。

“我们有GlobalProtect PAN-OS设备没有具体的声纳研究,但我们结合的通用的研究发现,刚刚超过69000个节点,28,188(40.6%),其中在美国,” Rudis也

美国网络司令部还在Twitter上警告说,外国APT团体可能会尝试利用未针对此漏洞进行修补的Palo Alto防火墙。

仅影响启用了SAML身份验证的设备

跟踪为CVE-2020-2021的漏洞已被评为严重严重程度,其CVSS 3.x基本得分为10,并且可以作为威胁参与者利用低复杂度攻击的一部分,通过网络访问易受攻击的服务器来利用此漏洞。

下表嵌入了受影响的PAN-OS版本以及从Palo Alto Networks接收补丁以防御旨在利用CVE-2020-2021漏洞的潜在攻击的版本(此问题已在PAN-OS 8.1.15中修复,PAN-OS OS 9.0.9,PAN OS 9.1.3和所有较新的版本。)

版本号受影响的不受影响
9.1<9.1.3> = 9.1.3
9.0<9.0.9> = 9.0.9
8.1<8.1.15> = 8.1.15
8.08.0。* 
7.1 7.1。*

“在GlobalProtect网关,GlobalProtect门户,无客户端VPN,Captive Portal和Prisma Access的情况下,如果配置的身份验证和安全策略允许,则未经身份验证的攻击者可以通过网络访问受影响的服务器,从而可以访问受保护的资源。”解释。

“对网关,门户或VPN服务器的完整性和可用性没有影响。攻击者无法检查或篡改普通用户的会话。

“在使用PAN-OS和Panorama Web界面的情况下,此问题允许具有对PAN-OS或Panorama Web界面的网络访问权限的未经身份验证的攻击者以管理员身份登录并执行管理操作。”

CVE-2020-2021

第二个严重漏洞得分为10

有关如何检查曝光所需的配置以及如何缓解的详细说明,请参阅此知识库文章

建议希望在应用缓解措施或应用补丁之前寻求妥协迹象的客户检查身份验证日志,用户ID日志,ACC网络活动源/目标区域(利用全局过滤器功能),自定义报告(监控器) >报告)和GlobalProtect日志(PAN-OS 9.1.0及更高版本)。

根据安全公告,在这些日志和报告中发现的任何不寻常的用户名或源IP地址都表明存在危害。

Palo Alto Networks表示,在发布安全公告之前,未检测到利用CVE-2020-2021漏洞的恶意尝试。

网络风险和弹性团队的Salman Khan和莫纳什大学身份服务团队的Cameron Duck向Palo Alto Networks报告了此问题。

根据公司的安全公告页面,这是Palo Alto Networks披露的第二个漏洞,自2012年4月27日以来,该漏洞的CVSS 3.x基本得分为10 。

另一个也得分为10的关键安全问题被跟踪为CVE-2019-17440,这是对PA-7000系列设备上与日志转发卡(LFC)的通信的不当限制,它使攻击者能够获得对泛OS。

美国东部时间6月29日17:49更新:添加了有关易受攻击设备的估计数量的信息。

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/2549.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注