Grave vulnerabilidade em popular aplicação de VPN – Palo Alto Networks

Palo Alto Networks identificou uma vulnerabilidade que permite burlar a autenticação em algumas versões de seu software PAN-OS. Embora a vulnerabilidade seja fácil de ser explorada e tenha sido classificada como grave, a mesma é fácil de ser mitigada.

Durante uma revisão de segurança, a Palo Alto Networks descobriu uma vulnerabilidade que permite burlar a autenticação em algumas versões de seu software PAN-OS. A vulnerabilidade pode ser explorada para ter acesso a recursos restritos de redes privadas virtuais (Virtual Private Networks – VPN).

PAN-OS é o software que serve de base para todos os produtos de firewall da Palo Alto Networks. A vulnerabilidade afeta algumas versões de quatro séries do PAN-OS. Na série PAN-OS 8.1, a falha afeta versões anteriores ao PAN-OS 8.1.17; na série PAN-OS 9.0 afeta versões anteriores ao PAN-OS 9.0.11; na série PAN-OS 9.1 afeta versões anteriores ao PAN-OS 9.1.5; e na série PAN-OS 10.0 afeta versões anteriores ao PAN-OS 10.0.1.

Segundo a Palo Alto Networks, VPNs baseadas em IPSec também são afetadas se a autenticação por certificado do cliente estiver habilitada. O mesmo ocorre com a funcionalidade GlobalProtect pre-logon.

Mesmo que uma versão afetada esteja em uso, o sistema só corre risco se o PAN-OS estiver configurado para permitir que os usuários se autentiquem com Client Certificate Authentication.

Aguardando análise segundo o NIST

A recente vulnerabilidade encontra-se reportada na base de dados do National Institute of Standards and Technology (NIST) sob o número CVE-2020-2050 com o status de “aguardando análise”. Segundo o Instituto, os recursos impactados que usam SSL VPN com verificação de certificado de cliente são: GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN. Nas configurações em que a verificação do certificado do cliente é usada em conjunto com outros métodos de autenticação, as proteções adicionadas pela verificação do certificado são ignoradas como resultado deste problema.

Mantenha-se atualizado

O problema do bypass de autenticação existe especificamente no componente GlobalProtect SSL VPN do PAN-OS. Para que o ataque seja bem sucedido, o sistema deve estar executando uma das versões mais antigas do PAN-OS especificadas acima. Além disso, conforme mencionado, o sistema deve ter sido configurado para depender apenas da autenticação baseada em certificados. Neste cenário, um invasor pode ter acesso à rede desviando todas as verificações dos certificados de cliente.

A Palo Alto Networks classificou a vulnerabilidade como de alta gravidade, embora não esteja ciente de qualquer exploração maliciosa desta falha.

Para mitigar o problema, certifique-se de que seu sistema esteja executando a versão mais recente da respectiva série PAN-OS. Você também pode configurar a GlobalProtect SSL VPN para exigir que todos os usuários de gateway e portal se autentiquem usando suas credenciais em vez de depender de certificados.

* Escrito/adaptado a partir de informações disponíveis nas páginas https://security.paloaltonetworks.com/CVE-2020-2050, https://nvd.nist.gov/vuln/detail/CVE-2020-2050 e https://www.techradar.com/news/serious-vpn-vulnerability-found-in-popular-business-networking-software.