Bugcombinatie laat malware binnen op firewalls
Details zijn nu vrijgegeven over het aan elkaar koppelen (chainen) van drie bugs waarmee remote root is te verkrijgen op firewalls van Palo Alto Networks. De leverancier brengt patches uit en waarschuwt.
© Pixabay CC0
Pixabay CC0
"Palo Alto Networks adviseert om de webbeheer-interface niet open te stellen naar het internet", merkt de security-onderzoeker op die de diepgaande kwetsbaarheid openbaart op de Full Disclosure mailinglijst.
Dat officiële advies van de firewall-leverancier blijkt in de praktijk niet bepaald te worden opgevolgd. "Door te kijken naar Project Sonar of Shodan is het duidelijk dat het eigenlijk nogal algemeen gebruik is om firewalls in te zetten met de webbeheer-interface luisterend op de WAN-poort", schrijft security-onderzoeker Philip Pettersson. Hij wordt door Palo Alto Networks bedankt voor het melden van deze kwestie.
Bug chaining
De ingebouwde webbeheerfunctie voor firewalls van Palo Alto valt te misbruiken door drie kwetsbaarheden aan elkaar te rijgen. Dit zogeheten bug chaining leidt uiteindelijk tot de mogelijkheid om code naar keuze uit te voeren op de kwetsbare firewall. Bovendien kan een aanvaller zijn kwaadaardige code met rootrechten draaien en valt dit op afstand te doen.
Kwetsbaar zijn firewalls die PAN-OS draaien met versie 6.1.18 en ouder, versie 7.0.18 en ouder, versie 7.1.13 en ouder, en versie 8.0.5 en ouder. Leverancier Palo Alto heeft updates uitgebracht en biedt ook workarounds aan om de impact van misbruik te beperken.
Beruchte hacker
Overigens levert een zoektocht op de naam van bugs-onthuller Philip Pettersson de internationale hackavonturen op van een beruchte netwerkkraker. Onder de alias Stakkato heeft Philip (Gabriel) Pettersson begin deze eeuw grote Amerikaanse sites vergaand gehackt. Hieronder universiteiten als Caltech en Stanford, naast het San Diego Supercomputer Center en NASA, maar ook het Amerikaanse leger en de beroemde militaire testfaciliteit White Sands Missile Range.
Na jaren van hackwerk en netwerkinfiltratie heeft Petterson in 2005 zelfs het bedrijfsnetwerk van leverancier Cisco Systems gecompromitteerd en daar 800 MB aan broncode van diens netwerkbesturingssysteem IOS (Internetwork Operating System) gedownload. Stakkato is vervolgens opgespoord, gearresteerd en in 2010 overgedragen aan de Zweedse autoriteiten voor vervolging.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee