image

Palo Alto GlobalProtect vpn-servers kwetsbaar door standaard master key

donderdag 4 augustus 2022, 16:42 door Redactie, 14 reacties

Wereldwijd zijn duizenden GlobalProtect vpn-servers van Palo Alto Networks kwetsbaar voor aanvallen doordat organisaties de standaard master key niet hebben gewijzigd. De master key wordt gebruikt voor het versleutelen van onder andere private keys en wachtwoorden in het configuratiebestand. Het kan echter ook toegang tot de server geven.

Palo Alto Networks adviseert organisaties om bij de installatie een nieuwe master key te configureren. "Dit zorgt ervoor dat een aanvaller geen toegang tot al je apparaten heeft in het geval hij de master key van één apparaat achterhaalt", aldus een blogposting op de website van Palo Alto. De standaard master key die Palo Alto gebruikt is al jaren bekend. Een beveiligingsonderzoeker met het alias "rqu" schreef onlangs een tool en ontdekte dat nagenoeg alle organisaties de master key van hun GlobalProtect vpn-servers niet hebben gewijzigd.

Wanneer de key bij een aanvaller bekend is kan die commando's met rootrechten uitvoeren, zo waarschuwt beveiligingsonderzoeker Kevin Beaumont op Twitter. Vorig jaar kwam Palo Alto met een beveiligingsupdate die moet voorkomen dat een aanvaller die de master key kent willekeurige code met rootrechten op servers kan uitvoeren. Beaumont stelt dat veel organisaties deze update niet hebben geïnstalleerd.

Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset. Een situatie die zich met de standaard ingestelde key niet voordoet. Vanwege het risico op misbruik wordt organisaties aangeraden de master key toch te wijzigen.

Image

Reacties (14)
04-08-2022, 17:54 door DLans
Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..
04-08-2022, 18:21 door Anoniem
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..

Vergelijk het een beetje met mensen die standaard wachtwoorden voor Oracle gebruiken, de changemenow. Voor sys.
Dus ja lijkt wel een beetje op een next next finish installatie.
04-08-2022, 18:34 door Anoniem
Bij een ander merk werkt cisco:cisco ook goed.
04-08-2022, 19:56 door Anoniem
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..
Het zullen veel organisaties zijn die er onterecht vanuit gaan dat beveiligingsproducten ook 'secure by default' zijn.
04-08-2022, 20:41 door Anoniem
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..

Eén van de grootste security risico's is denken dat je veilig bent.
04-08-2022, 21:20 door Anoniem
Door Anoniem:
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..
Het zullen veel organisaties zijn die er onterecht vanuit gaan dat beveiligingsproducten ook 'secure by default' zijn.
Dit soort spul is professioneel spul en daar horen professionele organisaties en goed opgeleide beheerders bij. Als je dit soort tools in handen geeft van een handige hobby bob die vooral goed is in <install> -> <next> -> <next> -> <Ready> en onvoldoende moeite doet om zich in te lezen en te trainen in het deugdelijk gebruik van dit soort tools, dan vraag je om problemen.
04-08-2022, 22:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..
Het zullen veel organisaties zijn die er onterecht vanuit gaan dat beveiligingsproducten ook 'secure by default' zijn.
Dit soort spul is professioneel spul en daar horen professionele organisaties en goed opgeleide beheerders bij. Als je dit soort tools in handen geeft van een handige hobby bob die vooral goed is in <install> -> <next> -> <next> -> <Ready> en onvoldoende moeite doet om zich in te lezen en te trainen in het deugdelijk gebruik van dit soort tools, dan vraag je om problemen.

Next, install types weten ook dat je de laatste security patches moet installeren.

Je overdrijft
05-08-2022, 05:41 door Password1234
Iemand nog een password adviesje nodig?
05-08-2022, 08:49 door Anoniem
Gezien de standaard reply's, volgens mij ben ik de enige hier die snapt waarom dit gebeurd.
Dan neem je een duur en goed bekend staand security product welke als je de handleiding volgt alleen maar een factory reset nodig heeft waarbij de hele organisatie plat gaat mocht je de niet standaard keys niet op tijd verversen......
Serieus? dan wil je blijkbaar toch ook niet dat klanten je handleiding volgen en niet de standaard key gebruiken?
05-08-2022, 09:41 door Anoniem
"goed opgeleide beheerders" dat is wel in dingetje zodra je in landen komt waar minder te besteden is. Tuurlijk, een Unilever of een Shell hebben budget en mensen die het goed zouden moeten doen. Zelfs daar lijkt het nog fout te gaan in dit artikel (nee, niet die bedrijven) dus dan weet je wel hoe het in organisaties is die moeten vertrouwen op Youtube beheerders en handige neefjes.

Het begint al met het probleem van een error message in je eigen taal te Googlen als je het Engels niet machtig bent. Gelukkig doet de vertaalmachine van Google het tegenwoordig wel redelijk.De root-cause is dat een producent wederom geen gedegen SDLC heeft of naleeft. Dat zou zo onderhand bij de grote jongens wel verplicht gesteld moeten worden op straffe van forse boetes. Dit had in de design fase natuurlijk al afgekeurd moeten worden en anders bij de Test fase naar boven moeten komen.
05-08-2022, 09:50 door Anoniem
Exact dit waarom onze organisatie er huiverig voor is:

Daarnaast merkt de onderzoeker op dat veel organisaties de master key waarschijnlijk bewust niet wijzigen. Wanneer een nieuwe master key is ingesteld zal die na een bepaalde tijd verlopen. Beheerders moeten voor het verstrijken een nieuwe key hebben geconfigureerd, anders zal de firewall waarop GlobalProtect draait naar de onderhoudsmodus rebooten, wat beheerders geen andere optie laat dan het uitvoeren van een fabrieksreset.
05-08-2022, 10:36 door Anoniem
Door Anoniem: Bij een ander merk werkt cisco:cisco ook goed.

Bij andere providers werkt KPN:KPN ook prima....
05-08-2022, 12:41 door Anoniem
"...geen andere optie laat dan het uitvoeren van een fabrieksreset"

Waarom is dit nodig, kan in onderhoudsmodus niet een nieuwe master key ingesteld worden (het s toch onderhoudsmodus). Een fabrieksreset is nogal wat.
07-08-2022, 00:29 door Anoniem
Door Anoniem:
Door DLans: Dus dit is in feite gewoon nalatigheid van alle organisaties en beheerders.Wauw ..

Eén van de grootste security risico's is denken dat je veilig bent.

Hoezo, ze hebben toch Solarwinds Sandbox geinstalleerd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.