باگ جدید در نرم‌افزار امنیتی PAN-OS امریکا

به گزارش کار گروه امنیت سایبربان؛ فرماندهی سایبری امریکا اخیراً هشدار داده گروه‌های هکری تحت حمایت دولت‌های خارجی احتمالاً از یک باگ امنیتی جدید در نرم‌افزار PAN-OS که در زمینه فایروال و وی پی ان فعال است، سوءاستفاده خواهند کرد.

فرماندهی سایبری امریکا به‌تازگی در توئیتی نوشت:

لطفاً آسیب‌پذیری CVE-2020-2021 را سریعاً از تمام دستگاه‌هایی که تحت تأثیر قرارگرفته‌اند برطرف کنید، به‌خصوص دستگاه‌هایی که از SALM استفاده می‌کنند.

این فرماندهی در ادامه افزود:

گروه‌های هکری دولت ملت احتمالاً و به‌زودی از این آسیب‌پذیری سوءاستفاده خواهند کرد.

CVE-2020-2021 یک آسیب‌پذیری 10/10

آسیب‌پذیری، ازنظر فنی دور زدن احراز هویت است که به هکرها اجازه می‌دهد بدون نیاز به ارائه مدارک معتبر به دستگاه قربانی دسترسی پیدا کنند.

مقامات فرماندهی سایبری امریکا بسیار نگران هستند؛ زیرا آسیب‌پذیری CVE-2020-2021 جزء باگ‌های امنیتی نادری است که در سیستم ارزیابی آسیب‌پذیری (CVSSv3) 10 از 10 کسب کرده است. این بدان معناست که از طرفی این آسیب‌پذیری برای بهره‌برداری آسان است زیرا نیازی به مهارت فنی پیشرفته ندارد و از طرفی از طریق اینترنت از راه دور قابل بهره‌برداری است.

هکرها پس از ورود به سیستم قربانی می‌توانند از طریق این باگ تنظیمات و ویژگی‌های نرم‌افزار PAN-OS را تغییر دهند. اگرچه این تغییرات بی‌ضرر به نظر می‌رسد و عواقب ناچیزی دارد؛ اما مسئله اصلی این باگ امنیتی است زیرا از آن می‌توان برای غیرفعال کردن فایروال‌ها یا وی پی ان ها استفاده کرد و تمام دستگاه‌های حاوی نرم افزار PAN-OS را غیرفعال کرد.

لزوم قرارگیری دستگاه‌های حاوی نرم‌افزار PAN-OS در یک پیکربندی خاص

مقامات نرم‌افزار PAN-OS در پیامی امنیتی اعلام کردند:

ازآنجاکه برای سوءاستفاده از این باگ، دستگاه‌های حاوی نرم‌افزار PAN-OS باید در یک تنظیم خاص باشند؛ لذا این موضوع باعث کاهش تعداد حمله هکرها می‌شود.

به گفته مهندسان این نرم‌افزار در صورت غیرفعال بودن گزینه تأیید هویت (Validate Identity Provider Certificate) یا در صورت فعال بودن گزینه تأیید امنیت (Security Assertion Markup Language) می‌توان از این آسیب‌پذیری استفاده کرد.

دستگاه‌هایی که دارای این دو گزینه بوده و طبیعتاً در معرض حملات قرار دارند شامل سیستم‌های زیر می‌شوند:
 GlobalProtect Gateway
 GlobalProtect Portal
 GlobalProtect Clientless VPN
 Authentication and Captive Portal
 PAN-OS next-generation firewalls (PA-Series, VM-Series) and Panorama web interfaces
 Prisma Access systems

این دو تنظیم به‌طور پیش‌فرض در وضعیت آسیب‌پذیر قرار ندارند؛ اما کاربر باید به‌صورت دستی این تنظیمات را بررسی کند زیرا ممکن است پیش‌فرض تنظیمات برخی دستگاه‌ها در وضعیت آسیب‌پذیر قرارگرفته باشد.

بااین‌حال، به گفته ویل دورمن (Will Dormann)، تحلیلگر آسیب‌پذیری امنیتی، چندین دفترچه راهنما به دارندگان نرم‌افزار PAN-OS آموزش می‌دهند هنگام استفاده از ارائه‌دهندگان هویت شخص ثالث مانند استفاده از تأیید هویت Duo در دستگاه‌های حاوی PAN-OS یا استفاده از راه‌حل‌های تأیید هویت شخص ثالث در Centrify، Trusona و Okta تنظیمات خاصی را اعمال کنند.

این بدان معناست که گرچه این آسیب‌پذیری در نگاه اول به دلیل پیکربندی پیچیده برای بهره‌برداری بی‌ضرر به نظر می‌رسد؛ اما هستند دستگاه‌هایی که در این حالت آسیب‌پذیری پیکربندی‌شده‌اند، به‌ویژه که بخش‌های دولتی و خصوصی به‌طور گسترده از احراز هویت Duo استفاده می‌کنند.

درنتیجه، به دارندگان نرم‌افزار PAN-OS توصیه می‌شود، در صورت کارکردن دستگاه‌های آن‌ها در وضعیت آسیب‌پذیر، فوراً تنظیمات دستگاه را بررسی کرده و آخرین تغییرات ارائه‌شده توسط مسئولان نرم‌افزار PAN-OS را اعمال کنند.

به دنبال افشای آسیب‌پذیری اخیر، بسیاری از چهره‌های سرشناس جامعه امنیت سایبری امریکا با بازتاب هشدار فرماندهی سایبری این کشور از مدیران سیستم‌ها خواسته‌اند هرچه سریع‌تر تغییرات لازم در دستگاه‌های حاوی نرم‌افزار PAN-OS را اعمال کنند.