Palo Alto publica aviso de seguridad de 7 vulnerabilidades en sus productos

 In Blog

El equipo de Ciberseguridad de Netglobalis informa que Palo Alto publicó un nuevo aviso de seguridad que contiene un total de 7 vulnerabilidades, de las cuales 2 son altas, 3 son medias y 1 es de riesgo bajo.

Las actualizaciones abordan distintos fallos de seguridad que afectan a productos como GlobalProtect App, Cortex XSOAR y PAN-OS.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

SEVERIDAD ALTA

CVE-2022-0016 [CVSSv3.1 en 7.4] GlobalProtect App: Privilege Escalation Vulnerability When Using Connect Before Logon Existe una vulnerabilidad de manejo inadecuado de condiciones excepcionales, dentro de la función Connect Before Logon de la aplicación GlobalProtect de Palo Alto Networks, que permite a un atacante local escalar a SYSTEM o privilegios de raíz (root) cuando se autentica con Connect Before Logon bajo ciertas circunstancias.

Tipo de debilidad CWE-703 Comprobación o manejo inadecuado de condiciones excepcionales

Productos vulnerables

· GlobalProtect 5.2 anteriores a 5.2.9 en Windows y MacOS.

Este problema no afecta a la aplicación GlobalProtect en otras plataformas.

CVE-2022-0017 [CVSSv3.1 en 7.0] GlobalProtect App: Improper Link Resolution Vulnerability Leads to Local Privilege Escalation Existe una vulnerabilidad de resolución de enlace incorrecta antes del acceso al archivo («link following»), en la aplicación GlobalProtect de Palo Alto Networks en Windows, que permite a un atacante local interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios SYSTEM bajo ciertas circunstancias.

Tipo de debilidad CWE-59 Resolución de enlace incorrecta antes del acceso al archivo («link following»)

Productos vulnerables

· GlobalProtect 5.1 anteriores a 5.1.10 en Windows.

· GlobalProtect 5.2 anteriores a 5.2.5 en Windows.

Este problema no afecta a la aplicación GlobalProtect en otras plataformas.


SEVERIDAD MEDIA

CVE-2022-0020 [CVSSv3.1 en 6.8] Cortex XSOAR: Stored Cross-Site Scripting (XSS) Vulnerability in Web Interface Una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada en la interfaz web Cortex XSOAR de Palo Alto Network, permite que un atacante autenticado en una red, almacene un payload persistente de javascript que realizará acciones arbitrarias en la interfaz web Cortex XSOAR, en nombre de los administradores autenticados que encuentren el payload durante las operaciones normales.

Productos vulnerables

· Cortex XSOAR 6.1.0

· Cortex XSOAR 6.2.0 anterior a 1958888.

Tipo de debilidad CWE-79 Cross-site Scripting (XSS)

CVE-2022-0011 [CVSSv3.1 en 6.5] PAN-OS: URL Category Exceptions Match More URLs Than Intended in URL Filtering

El software PAN-OS proporciona opciones para excluir sitios web específicos de la aplicación de categorías de URL y esos sitios web se bloquean o permiten (según sus reglas) independientemente de su categoría de URL asociada. Esto se hace creando una lista de categorías de URL personalizada o usando una lista dinámica externa (EDL) en un perfil de filtrado de URL.

Cuando las entradas en estas listas tienen un patrón de nombre de host que no termina con una barra diagonal (/) o un patrón de nombre de host que termina con un asterisco (*), cualquier URL que comience con el patrón especificado se considera una coincidencia. Las entradas con un signo de intercalación (^) al final de un patrón de nombre de host coinciden con cualquier dominio de nivel superior. Esto puede permitir o bloquear inadvertidamente más URL de las previstas y permitir más URL de las previstas representa un riesgo de seguridad.

Productos vulnerables

· PAN-OS 10.1 anteriores a PAN-OS 10.1.3

· PAN-OS 10.0 anteriores a PAN-OS 10.0.8

· PAN-OS 9.1 anteriores a PAN-OS 9.1.12

· PAN-OS 9.0

· PAN-OS 8.1 anteriores a PAN-OS 8.1.21

· Prisma Access 2.2 y 2.1

Este problema solo se aplica cuando configura excepciones al filtrado de URL mediante la creación de una lista de categorías de URL personalizada o mediante el uso de una lista dinámica externa (EDL) en un perfil de filtrado de URL según https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/url-filtering/block-and-allow-lists.html .

Tipo de debilidad CWE-436 Conflicto de interpretación

CVE-2022-0018 [CVSSv3.1 en 6.1] GlobalProtect App: Information Exposure Vulnerability When Connecting to GlobalProtect Portal With Single Sign-On Enabled

Existe una vulnerabilidad de exposición de información en la aplicación GlobalProtect de Palo Alto Networks en Windows y MacOS, donde las credenciales de la cuenta de usuario local se envían al portal de GlobalProtect, cuando la función de inicio de sesión único está habilitada en la configuración del portal.

El comportamiento de este producto es intencional y no representa un riesgo para la seguridad cuando se conecta a portales de confianza de GlobalProtect configurados para usar las mismas credenciales de inicio de sesión único, tanto para la cuenta de usuario local como para el inicio de sesión del portal. Sin embargo, cuando las credenciales son diferentes, las credenciales de la cuenta local se envían inadvertidamente al portal para la autenticación. Un atacante de tipo MITM de terceros no puede ver estas credenciales en tránsito.

Esta vulnerabilidad es una preocupación cuando la aplicación GlobalProtect se implementa en clientes del tipo Bring-your-Own-Device (BYOD) con cuentas de usuario locales privadas o la aplicación se usa para conectarse a diferentes organizaciones. Las versiones fijas de la aplicación tienen una configuración de aplicación para evitar la transmisión de las credenciales de usuario local del usuario al portal GlobalProtect de destino, independientemente de la configuración del portal.

Productos vulnerables

· GlobalProtect 5.1 anteriores a 5.1.10 en Windows y MacOS.

· GlobalProtect 5.2 anteriores a 5.2.9 en Windows y MacOS.

Tipo de debilidad CWE-201 Exposición de información a través de datos enviados

CVE-2022-0019 [CVSSv3.1 en 4.7] GlobalProtect App: Insufficiently Protected Credentials Vulnerability on Linux

Existe una vulnerabilidad de credenciales insuficientemente protegidas en la aplicación GlobalProtect de Palo Alto Networks en Linux, que expone las credenciales hash de los usuarios de que guardaron su contraseña durante sesiones anteriores de la aplicación a otros usuarios locales en el sistema.

Las credenciales expuestas permiten que un atacante local se autentique en el portal o la puerta de enlace de GlobalProtect como el usuario de destino, sin conocer la contraseña de texto sin formato del usuario de destino.

Productos vulnerables

· GlobalProtect 5.1 anteriores a 5.1.10 en Linux.

· GlobalProtect 5.2 anteriores e incluida 5.2.7 en Linux.

· GlobalProtect 5.3 anteriores a 5.3.2 en Linux.

Tipo de debilidad CWE-522 Credenciales insuficientemente protegidas

SEVERIDAD BAJA

CVE-2022-0019 [CVSSv3.1 en 3.3] GlobalProtect App: Information Exposure Vulnerability When Using Connect Before Logon

Existe una vulnerabilidad de exposición de información a través del archivo de registro en la aplicación GlobalProtect de Palo Alto Networks en Windows, que registra las credenciales de texto no cifrado del usuario que se conecta cuando se autentica con la función Conectar antes de iniciar sesión.

Productos vulnerables

· GlobalProtect 5.2 anteriores a 5.2.9 en Windows.

Tipo de debilidad CWE-532 Exposición de información a través de archivos de registro

Mitigaciones:

Se recomienda lo siguiente:

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Enlace https://security.paloaltonetworks.com/

Recent Posts