Архив метки: PanOS

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300)

Добавить комментарий

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300)

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300). PAN-OS - это операционная система для файерволов и платформ безопасности компании Palo Alto Networks. User-ID™ Authentication Portal (другое название Captive Portal) — это функция PAN-OS (не включенная по умолчанию), используемая для сопоставления IP-адресов с именами пользователей. Используя ошибку переполнения буфера (CWE-787), неаутентифицированный удаленный атакующий может отправить специально сформированные пакеты на устройство с включенным User-ID™ Authentication Portal, добиваясь выполнения произвольного кода с root-привилегиями на уязвимом устройстве. Аутентификация или взаимодействие с пользователем не требуются. При успешной эксплуатации уязвимости атакующий получает полный контроль над устройством: может перехватывать, изменять или блокировать сетевой трафик, получать доступ к конфиденциальным данным, обходить политики безопасности, скрывать следы компрометации, устанавливать бэкдоры и использовать устройство как точку входа для атак на внутреннюю инфраструктуру.

⚙️ Бюллетень безопасности вендора был опубликован 6 мая. Уязвимы файерволы PA-Series и VM-Series. Решения Prisma Access, Cloud NGFW и Panorama не подвержены этой уязвимости. Обновления безопасности доступны с 13 мая. В качестве workaround-а вендор рекомендует ограничить доступ к User-ID™ Authentication Portal только доверенными внутренними зонами или полностью отключить его.

👾 Также 6 мая исследователи Palo Alto Networks Unit 42 опубликовали сообщение об эксплуатации уязвимости в реальных атаках. Действия злоумышленников после эксплуатации уязвимости включают развертывание общедоступных инструментов для туннелирования (EarthWorm, ReverseSocks5), сбор информации из Active Directory с использованием учетных данных, вероятно, полученных из файервола, а также систематическое уничтожение логов и других следов компрометации. В тот же день уязвимость была добавлена в CISA KEV.

🛠 Публичный эксплойт появился на GitHub также 6 мая.

🌐 PAN-OS - одна из самых широко используемых операционных систем для корпоративных файерволов в мире. По состоянию на 5 июня Shodan отслеживает примерно 135 755 инстансов PAN-OS, доступных из Интернет, что представляет собой значительную поверхность атаки.

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257)

Добавить комментарий

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257)

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257). PAN-OS GlobalProtect - это система удалённого защищённого доступа от Palo Alto Networks, позволяющая сотрудникам подключаться к корпоративной сети через Интернет и работать так, как будто они находятся внутри организации. Она встроена в операционную систему PAN-OS, которая работает на сетевых устройствах (межсетевых экранах) Palo Alto Networks. Prisma Access - это облачный сервис от Palo Alto Networks, обеспечивающий защищённый удалённый доступ пользователей и применение корпоративных политик безопасности без необходимости развёртывать собственные VPN-шлюзы и периметровые устройства.

13 мая 2026 года компания Palo Alto Networks опубликовала бюллетень безопасности по CVE-2026-0257 - уязвимости обхода аутентификации со средней критичностью, затрагивающей PAN-OS и Prisma Access с настроенными GlobalProtect portal или gateway, включёнными authentication override cookies и определённой конфигурацией сертификатов. Успешная эксплуатация этой уязвимости позволяет удалённому неаутентифицированному атакующему установить VPN-соединение через шлюз GlobalProtect на уязвимом устройстве.

Команда Rapid7 MDR выявила успешную эксплуатацию у многочисленных клиентов, однако не обнаружила признаков успешного латерального перемещения с этих устройств. Самая ранняя зафиксированная дата эксплуатации - 17 мая 2026 года. По состоянию на 29 мая 2026 года данная уязвимость была добавлена в каталог известных эксплуатируемых уязвимостей CISA KEV.

Аналитики Rapid7 настоятельно рекомендуют рассматривать эту уязвимость как критическую. Обход аутентификации в корпоративном VPN-устройстве, доступном с внешнего периметра, может иметь серьёзные последствия для затронутых организаций. Следует в срочном порядке установить исправление, предоставленное вендором.

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Добавить комментарий

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Добавить комментарий

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108)

Про уязвимость Authentication Bypass - PAN-OS (CVE-2025-0108). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Уязвимость позволяет неаутентифицированному злоумышленнику получить доступ к веб-интерфейсу управления PAN-OS. После чего он может "выполнять некоторые PHP-скрипты", что негативно влияет на целостность и конфиденциальность данных в PAN-OS. 😏

🔹 Бюллетень вендора вышел 12 февраля. В тот же день Assetnote выложили write-up по уязвимости. А на следующий день на GitHub появился PoC эксплоита.

🔹 18 февраля GreyNoise сообщили о зафиксированных попытках эксплуатации уязвимости. По данным Palo Alto, уязвимость эксплуатируют совместно с уязвимостями EoP CVE-2024-9474 и Authenticated File Read CVE-2025-0111. В результате злоумышленник получает возможность выполнять Linux-овые команды на устройстве от root-а. 😱

Установите обновления и ограничьте доступ к административным веб-интерфейсам! 😉

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Добавить комментарий

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393)

Про уязвимость Denial of Service - PAN-OS (CVE-2024-3393). PAN-OS - операционная система, используемая во всех NGFW от Palo Alto Network. Бюллетень вендора вышел 27 декабря. Неаутентифицированный злоумышленник может отправить вредоносный DNS-пакет через плоскость данных (data plane) файервола, что вызовет перезагрузку устройства. А повторная эксплуатация уязвимости переведёт устройство в режим обслуживания (maintenance mode). Для эксплуатации на NGFW должна быть включена опция логирования функции "DNS Security".

👾 Palo Alto уже детектировали атаки с использованием этой уязвимости. Публичных эксплоитов пока не видно.

👀 CyberOK детектируют в Рунете более 500 инсталляций с PAN-OS, из которых 32 потенциально уязвимы. Кроме того, на 218 узлах используется PAN-OS версии 11.0.x, которые с 17 ноября уже не поддерживаются вендором.

🔧 Для устранения уязвимости необходимо обновить устройство или, как workaround, отключить опцию логирования функции "DNS Security".

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Добавить комментарий

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Добавить комментарий

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474)

Про уязвимость Elevation of Privilege - PAN-OS (CVE-2024-9474). Злоумышленник, имеющий доступ к веб-интерфейсу управления устройств Palo Alto с правами администратора PAN-OS, может выполнять действия на устройстве от root-а. Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные и это позволяет делать инъекцию Linux-овых команд.

Необходимость аутентификации и получения админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость Authentication Bypass - PAN-OS (CVE-2024-0012). 😏 В Palo Alto заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья от watchTowr Labs и появились рабочие эксплоиты, начались массовые атаки.

21 ноября Shadowserver сообщали о компрометации ~2000 хостов, в основном в США и Индии. По данным Wiz, злоумышленники развёртывали на них веб-шеллы, импланты Sliver и криптомайнеры.