השומרים נרדמו? פגיעות חמורה ברכיבי פאלו אלטו

פגיעות אבטחה קריטית נמצאה ברכיבים רבים של פאלו אלטו (Palo Alto Networks), כך מסר הממשל האמריקני.

הפגיעות מאפשרת לתוקפים מרוחקים לעקוף את מנגנון האימות ולהפעיל נוזקה על מערכות, מה שעלול לאפשר פריצה מלאה לרשתות ולמערכות של הארגון, כך מסרו יועצי האבטחה של פאלו אלטו. הפגיעות משפיעה לרעה על מערכת ההפעלה שמריצה את הדור הבא של הפיירוולים וה-VPN הארגוניים – של החברה.

החולשה, שתויגה כ-CVE-2020-2021, משפיעה על האופן שבו התוכנה שמפעילה את הרכיבים של פאלו אלטו – מיישמים את ההגנה שלהם ( Security Assertion Markup Language, SAML).

"אנא, הטליאו מיד את כל הרכיבים שנפגעו על ידי CVE-2020-2021, בייחוד אם SAML נמצא בשימוש", צייץ פיקוד הסייבר האמריקני שלשום (ב'), "קבוצות APT (איום מתמשך ומתקדם, י.ה.) זרות ינסו לנצל את החולשה בקרוב, ככל הנראה".

הפגיעות משפיעה על תוכנה המפעילה כמה פיירוולים של פאלו אלטו והתקני VPN ארגוניים. היא מאפשרת לתוקפים, בתנאים מסוימים, להשתלט על הרכיבים של ענקית אבטחת המידע, וזאת בלא להזדקק לסיסמה. ברגע שלהאקרים יש שליטה על התקן האבטחה, הם יכולים למנף שליטה זו, כדי לקבל גישה לשאר רכיבי הרשת.

עדכוני תוכנה שהונפקו על ידי פאלו אלטו שלשום כללו תיקון לפגיעות. בנוסף, החברה אמרה כי ארגונים יכולים לכבות את SAML – שזו הדרך לאפשר למשתמשים להיכנס לרשת – כדי לטפל בחולשה. על פי פאלו אלטו, אין – נכון לעכשיו – עדויות לכך שהאקרים הספיקו לנצל את הפגיעות.

המשתמשים נמצאים בסיכון אם אימות ה-SAML מופעל והאפשרות של "לאמת אישור לזיהוי (של ה-) ספק" (validate identity provider certificate) – מושבתת. זאת כי אימות לא נכון של חתימות עלול לאפשר לתוקפים גישה למשאבי הארגון המוגנים.

CISA, סוכנות התשתיות והסייבר האמריקנית, מסרה, כי "תוקף שאינו מאושר גישה לרשת והגיע אליה עלול לנצל חולשה זו על מנת להשיג מידע רגיש".

בתרחיש הגרוע ביותר, מסרה פאלו אלטו, "הפגיעות מאפשרת לתוקף גישה ל- PAN-OS, או גישה לממשק Panorama web, מה שמאפשר לו להיכנס כאדמין (מנהל) ולבצע פעולות ניהול. זוהי פגיעות קשה במיוחד, המזכה אותה בדירוג הפגיעויות בציון הגבוה ביותר האפשרי, של 10.0. רק פגיעות אחת של פאלו אלטו קיבלה דירוג שכזה מאז אפריל 2012.