Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 24 Giugno 2021 10:41
Un bug di sicurezza critico in Cortex XSOAR di Palo Alto Networks potrebbe consentire agli aggressori remoti di eseguire comandi e automazioni nella War Room Cortex XSOAR e di intraprendere altre azioni sulla piattaforma, senza dover accedere.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Trovato internamente dal redteam di Palo Alto, il bug (CVE-2021-3044) è una vulnerabilità di autorizzazione impropria che:
“consente a un utente malintenzionato remoto non autenticato con accesso di rete al server Cortex XSOAR di eseguire azioni non autorizzate tramite l’API REST”
secondo un avviso del fornitore di martedì. La vulnerabilità è stata valutata con una severity 9,8 su 10 sulla scala di gravità della vulnerabilità CVSS.
Cortex XSOAR è una piattaforma di difesa della sicurezza informatica utilizzata in una varietà di casi d’uso, tra cui l’automazione delle operazioni di sicurezza, la gestione dell’intelligence sulle minacce, la risoluzione automatizzata dei ransomware e l’orchestrazione della sicurezza in cloud. SOAR sta per “orchestrazione, automazione e risposta della sicurezza” e nel caso di Palo Alto il termine viene utilizzato per indicare un approccio unificato alla centralizzazione dell’intelligence sulle minacce e degli avvisi di sicurezza tra le fonti.
La piattaforma Cortex implementa anche flussi di lavoro automatizzati e playbook di risposta e consente la collaborazione in tempo reale tra i team. In quanto tale, è uno tra i prodotti di punta dell’azienda.
Se gli aggressori remoti possono eseguire comandi e automazioni nella War Room, possono potenzialmente sovvertire le indagini di sicurezza in corso, rubare informazioni sui piani d’azione di difesa informatica di una vittima e altro ancora.
Secondo la documentazione online di Palo Alto, le indagini in tempo reale sono facilitate attraverso la War Room, che consente agli analisti (e su sistemi vulnerabili, aggressori remoti) di fare quanto segue:
“Quando apri la War Room, puoi vedere una serie di voci come comandi, note, prove, attività, ecc.”
si legge nella documentazione.
Un fattore attenuante, tuttavia, è il fatto che un avversario, come detto, dovrebbe avere accesso alla stessa rete a cui è collegato Cortex XSOAR, richiedendo un precedente compromissione della rete.
Il problema riguarda solo le configurazioni Cortex XSOAR con integrazioni di chiavi API attive, e in particolare le seguenti versioni:
Per proteggersi, gli utenti devono aggiornare alla versione più recenti e revocare tutte le chiavi API di integrazione attive per mitigare completamente l’impatto del problema, ha osservato il fornitore.
Gli utenti possono creare nuove chiavi API una volta completato l’aggiornamento. Palo Alto ha affermato di non essere a conoscenza di alcuno sfruttamento del bug in natura.
Fonte
https://threatpost.com/critical-palo-alto-bug-remote-war-room/167169/
Redazione