Sårbarheter i Palo Alto Networks OS (PAN-OS)

Publisert: 29.02.2016 | Sist endret: 11.01.2017

Utnyttelse av en av sårbarhetene kan føre til at enheten stopper og at angriperen kan kjøre uønsket kode (RCE)

Palo Alto Networks publiserte 24. februar 2016 informasjon om fire sårbarheter (PAN-SA-2016-0002, PAN-SA-2016-0003, PAN-SA-2016-0004 og PAN-SA-2016-0005) i sine produkter[1]. En av disse sårbarhetene, PAN-SA-2016-0005, er markert som KRITISK, og omtales i dette varselet.[2]

Sammendrag

Når en PAN-OS-enhet er satt opp som en GlobalProtect-portal kan en angriper utnytte en sårbarhet som kan føre til at enheten stopper og at angriperen kan kjøre uønsket kode (RCE).

Detaljer om sårbarheten

Sårbarheten utnyttes ved at angriperen retter et DoS-angrep med SSL VPN-forespørseler mot enheten slik at en "buffer overflow" forårsakes.

Utnyttelse

NorCERT er ikke gjort kjent med aktiv utnyttelse av denne sårbarheten i Norge.

Påvirkede produkter

  • PAN-OS versjon 5.0.17 og tidligere
  • PAN-OS versjon 6.0.12 og tidligere
  • PAN-OS versjon 6.1.9 og tidligere
  • PAN-OS versjon 7.0.4 og tidligere

Anbefalinger

NorCERT anbefaler oppgradering av påvirkede systemer. Nødoppdatering #563 inneholder en IPS-signatur (#38902) som kan benyttes som en midlertidig løsning frem til Palo Alto Networks offentliggjør en sikkerhetsoppdatering.
Sårbarheten kan også løses ved å skru av "Login page" på konfigurasjonssiden til GlobalProtect-portalen.

Kilder

  1. [1] https://securityadvisories.paloaltonetworks.com/
  2. [2] https://securityadvisories.paloaltonetworks.com/Home/Detail/38