Palo Alto Networks waarschuwt voor actief aangevallen zerodaylek in PAN-OS
Palo Alto Networks waarschuwt voor een actief aangevallen zerodaylek in de managementinterface van PAN-OS, waardoor een ongeauthenticeerde aanvaller op afstand code op firewalls kan uitvoeren. Verdere details over de kwetsbaarheid, een beveiligingsupdate of CVE-nummer zijn niet beschikbaar. Palo Alto Networks zegt de situatie te onderzoeken. PAN-OS is het besturingssysteem dat op de firewalls van Palo Alto Networks draait.
Op acht november kwam Palo Alto Networks met een informatiebulletin waarin het voor een mogelijke RCE (remote code execution)-kwetsbaarheid in PAN-OS waarschuwde. De waarschuwing was volgens het securitybedrijf gebaseerd op een externe claim waar verder geen details over werden gegeven. Het securitybedrijf kon de aanwezigheid van een kwetsbaarheid op dat moment nog niet bevestigen en had naar eigen zeggen ook nog geen aanwijzingen van misbruik.
Gisterenavond is het beveiligingsbulletin voorzien van een update waarin wordt gemeld dat er actief misbruik is waargenomen tegen Palo Alto Networks-firewalls waarvan de managementinterface benaderbaar vanaf het internet is. Details over de kwetsbaarheid zijn niet gegeven, behalve dat die unauthenticated remote command execution mogelijk maakt. De enige oplossing die Palo Alto Networks op dit moment heeft is het beveiligen van de managementinterface en ervoor zorgen dat die niet vanaf internet benaderbaar is.
Update
The Shadowserver Foundation laat weten dat meer dan 8700 PAN-OS managementinterfaces vanaf internet toegankelijk zijn. Tweeduizend minder dan bij vorige meting op 11 november, net nadat de eerste versie van het informatiebulletin online verscheen. Zo'n honderdtwintig interfaces zijn in Nederland te vinden, aldus de cijfers.Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)
geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)
geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
port knocking: Als luisteren al een risico is dan kan je beter helemaal geen server hebben...
Ping is optioneel, maar wel netjes om aan te hebben.
Als jij zo wantrouwend bent, ga dan helemaal offline ofzo...
Ik tel 4 open poorten:
1. HTTPS (je webserver)
2. HTTP (rewrite naar HTTPS)
3. SSH (achter port knocking)
4. ICMP (enkel ping)
geen rewrite, dan kun je scannen op 80 en krijg je extra informatie, geen icmp want pingsweep doet hetzelfde (recon)..ssh achter port knocking betekent dat er een listener actief moet zijn op.meerdere poorten bijvoorbeeld, niet altijd voorzien van dezelfde hardening, ook als je een reverse proxy of een waf ervoor hebt staan.
zo zie je maar dat zelfs goedbedoelde adviezen nog steeds onveilig zijn.
port knocking: Als luisteren al een risico is dan kan je beter helemaal geen server hebben...
Ping is optioneel, maar wel netjes om aan te hebben.
Als jij zo wantrouwend bent, ga dan helemaal offline ofzo...
Het is in mijn mening naief om te denken dat een crimineel niet iedere optie zal proberen die er beschikbaar is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?