Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un bug di sicurezza critico in Cortex XSOAR di Palo Alto Networks potrebbe consentire agli aggressori remoti di eseguire comandi e automazioni nella War Room Cortex XSOAR e di intraprendere altre azioni sulla piattaforma, senza dover accedere.
Trovato internamente dal redteam di Palo Alto, il bug (CVE-2021-3044) è una vulnerabilità di autorizzazione impropria che:
“consente a un utente malintenzionato remoto non autenticato con accesso di rete al server Cortex XSOAR di eseguire azioni non autorizzate tramite l’API REST”
secondo un avviso del fornitore di martedì. La vulnerabilità è stata valutata con una severity 9,8 su 10 sulla scala di gravità della vulnerabilità CVSS.
Cortex XSOAR è una piattaforma di difesa della sicurezza informatica utilizzata in una varietà di casi d’uso, tra cui l’automazione delle operazioni di sicurezza, la gestione dell’intelligence sulle minacce, la risoluzione automatizzata dei ransomware e l’orchestrazione della sicurezza in cloud. SOAR sta per “orchestrazione, automazione e risposta della sicurezza” e nel caso di Palo Alto il termine viene utilizzato per indicare un approccio unificato alla centralizzazione dell’intelligence sulle minacce e degli avvisi di sicurezza tra le fonti.
La piattaforma Cortex implementa anche flussi di lavoro automatizzati e playbook di risposta e consente la collaborazione in tempo reale tra i team. In quanto tale, è uno tra i prodotti di punta dell’azienda.
Se gli aggressori remoti possono eseguire comandi e automazioni nella War Room, possono potenzialmente sovvertire le indagini di sicurezza in corso, rubare informazioni sui piani d’azione di difesa informatica di una vittima e altro ancora.
Secondo la documentazione online di Palo Alto, le indagini in tempo reale sono facilitate attraverso la War Room, che consente agli analisti (e su sistemi vulnerabili, aggressori remoti) di fare quanto segue:
“Quando apri la War Room, puoi vedere una serie di voci come comandi, note, prove, attività, ecc.”
si legge nella documentazione.
Un fattore attenuante, tuttavia, è il fatto che un avversario, come detto, dovrebbe avere accesso alla stessa rete a cui è collegato Cortex XSOAR, richiedendo un precedente compromissione della rete.
Il problema riguarda solo le configurazioni Cortex XSOAR con integrazioni di chiavi API attive, e in particolare le seguenti versioni:
Per proteggersi, gli utenti devono aggiornare alla versione più recenti e revocare tutte le chiavi API di integrazione attive per mitigare completamente l’impatto del problema, ha osservato il fornitore.
Gli utenti possono creare nuove chiavi API una volta completato l’aggiornamento. Palo Alto ha affermato di non essere a conoscenza di alcuno sfruttamento del bug in natura.
Fonte
https://threatpost.com/critical-palo-alto-bug-remote-war-room/167169/
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Innovazione
Cybercrime
Vulnerabilità
Innovazione