Архив метки: PanOS

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Уязвимость позволяет неаутентифицированному злоумышленнику получить доступ к веб-интерфейсу управления PAN-OS. После чего он может "выполнять некоторые PHP-скрипты", что негативно влияет на целостность и конфиденциальность данных в PAN-OS. 😏

🔹 Бюллетень вендора вышел 12 февраля. В тот же день Assetnote выложили write-up по уязвимости. А на следующий день на GitHub появился PoC эксплоита.

🔹 18 февраля GreyNoise сообщили о зафиксированных попытках эксплуатации уязвимости. По данным Palo Alto, уязвимость эксплуатируют совместно с уязвимостями EoP CVE-2024-9474 и Authenticated File Read CVE-2025-0111. В результате злоумышленник получает возможность выполнять Linux-овые команды на устройстве от root-а. 😱

Установите обновления и ограничьте доступ к административным веб-интерфейсам! 😉

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Бюллетень вендора вышел 27 декабря. Неаутентифицированный злоумышленник может отправить вредоносный DNS-пакет через плоскость данных (data plane) файервола, что вызовет перезагрузку устройства. А повторная эксплуатация уязвимости переведёт устройство в режим обслуживания (maintenance mode). Для эксплуатации на NGFW должна быть включена опция логирования функции "DNS Security".

👾 Palo Alto уже детектировали атаки с использованием этой уязвимости. Публичных эксплоитов пока не видно.

👀 CyberOK детектируют в Рунете более 500 инсталляций с PAN-OS, из которых 32 потенциально уязвимы. Кроме того, на 218 узлах используется PAN-OS версии 11.0.x, которые с 17 ноября уже не поддерживаются вендором.

🔧 Для устранения уязвимости необходимо обновить устройство или, как workaround, отключить опцию логирования функции "DNS Security".

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). Неаутентифицированный злоумышленник, имеющий сетевой доступ к веб-интерфейсу управления устройств Palo Alto, может получить привилегии администратора PAN-OS для выполнения административных действий, изменения конфигурации или эксплуатации других уязвимостей, для которых требуется аутентификация. Уязвимы файерволы серий PA, VM, CN и платформа управления Panorama. Вендор рекомендует ограничить доступ к веб-интерфейсу управления только доверенными внутренними IP-адресами.

🔻 8 ноября был опубликован бюллетень Palo Alto
🔻 15 ноября появились признаки атак, которые Palo Alto обозначили как "Operation Lunar Peek"
🔻 18 ноября уязвимость была добавлена в CISA KEV
🔻 19 ноября исследователи watchTowr Labs выпустили пост с техническими деталями ("укажите значение off в заголовке HTTP-запроса X-PAN-AUTHCHECK, и сервер любезно отключит аутентификацию") 😏 и на GitHub практически сразу появились эксплоиты

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России?

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России?

Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России? Алексей Лукацкий подсветил мой пост про Remote Code Execution - Palo Alto PAN-OS (CVE-2024-3400), за что ему большое спасибо, и выложил актуальную статистику Shadowserver по данной уязвимости. Хороший повод порассуждать насколько вообще этой статистике можно верить.

🔹 Эта статистика - результат детектирования уязвимости без аутентификации. Это может быть детект по версии из баннера сервиса (низкая достоверность) или детект с попыткой эксплуатации уязвимости (высокая достоверность). Но это когда мы знаем, что нужный нам сервис есть на таком-то порту такого-то сетевого хоста. А если не знаем, то нам нужно будет это выяснить путём сканирования портов и фингерпринтинга сервисов. Это весьма и весьма заметная активность, которую понятно как выявлять и блокировать, в том числе автоматически.

🔹 Даже если вы сами развернёте внешний сканер (хотя бы nmap) и начнёте сканировать сетевой периметр собственной организации, то вполне вероятно, что ваш сканер очень быстро заблокируют корпоративные решения защиты от сканирования и DoS-атак. Это может выглядеть таким образом, что произвольные порты на хостах будут показываться как открытые или как закрытые. И это будет меняться от скана к скану. Пользоваться такими недостоверными данными будет невозможно и нужно будет идти в IT, чтобы IP-адрес сканера добавили в белые списки во всех системах, которые могут препятствовать активному сканированию.

🔹 В случае, если вы сами проводите сканирование сетевого периметра вашей организации, у вас, скорее всего, будет мотивация и возможности разбираться со всеми проблемами в детектировании, чтобы получить самые достоверные результаты. А что в случае, если это делает организация, которая без спроса сканирует "весь Интернет"? Ну блокируются её сканы в какой-то компании, ну и ладно. Не будут же они упрашивать каждую компанию не блокировать сканы. 😅

🔹 И, наконец, самое главное. Откуда идут сканы? Shadowserver это британская организация. Сложно сказать, откуда именно они сканируют, скорее всего их сканеры как-то разнесены. Но у меня есть большие сомнения, что они сканируют Рунет сканерами, которые расположены на хостах с российскими IP-адресами. А если они пытаются сканить Рунет из Великобритании, то вполне вероятно они частенько упираются в блокировку любых сетевых запросов из UK, реализованную "на всякий случай". В условиях геополитической напряжённости блокировки доступов по странам и целым регионам стали обычным делом. Эту практику сложно даже как-то осуждать. Если ваш бизнес никак не завязан на UK, то сетевые запросы из UK будут для вас в лучшем случае бесполезными, а в худшем опасными. Особенно, когда дело касается всякого рода сканирований.

🔹 Ханипоты. Сервис может детектироваться по баннеру как уязвимый и даже вести себя как уязвимый, но при этом иметь целью лишь сознательное привлечение злоумышленников, чтобы засветить их методы атак и индикаторы компрометации.

➡️ Итого, когда Shadowserver пишут, что для России детектируется 44 уязвимых хоста, это очень примерное значение. Необходимо делать поправку на неизбежные многочисленные false positive и false negative ошибки. Имхо, более-менее достоверное сканирование Рунета будет возможно только с использованием аналогичного отечественного сервиса. Очень ждём его появление. 🙂 Ну и, желательно, чтобы у такого сервиса была ещё административная дубина, гарантирующая, что его сканеры не будут блокироваться, а организации сами будут рассказывать, какие сервисы у них опубликованы.