0
0
Um pesquisador de segurança que usa o apelido online “mr.d0x” informou à empresa que seu Agente Cortex XDR pode ser contornado por um invasor com privilégios elevados.
O pesquisador descobriu que o agente pode ser desativado por um invasor local com privilégios de administrador simplesmente modificando uma chave de registro, deixando o ponto final exposto a ataques. O recurso anti-adulteração do produto é incapaz de impedir o uso deste método.
O Sr.d0x também descobriu que existe uma “senha desinstalação” padrão que — se não foi alterada pelo administrador — também pode ser usada para desativar o agente XDR.
Se a senha padrão tiver sido alterada, o hash da nova senha pode ser obtido a partir de um arquivo. O invasor pode então tentar decifrar a senha. Também pode ser possível para um invasor que não tem privilégios de administrador obter este hash.
O Sr.d0x disse que descobriu essas vulnerabilidades no verão de 2021, mas só agora publicou um post no blog detalhando as descobertas para dar ao fornecedor tempo suficiente para agir. No entanto, a Palo Alto Networks ainda está trabalhando em patches e proteções para essas questões.
“É importante que as soluções de segurança implementem proteção adequada contra adulterações para evitar serem alvos dos invasores”, disse O.d0x. “Além disso, não deve ser trivial obter credenciais ou privilégios que possam desativar a solução de segurança.”
A empresa de segurança cibernética também informou os clientes sobre uma vulnerabilidade de negação de serviço (DoS) que afeta o recurso de proxy DNS em seu software PAN-OS. Um invasor homem-no-meio (MitM) pode usar tráfego especialmente criado para interromper firewalls afetados.
Um invasor do MitM também pode lançar um ataque DoS contra o PAN-OS, o aplicativo GlobalProtect e o agente Cortex XDR explorando uma vulnerabilidade openssl recentemente corrigida rastreada como CVE-2022-0778.
Vários fornecedores de cibersegurança têm avaliado o impacto dessa falha em seus produtos.
A Palo Alto Networks diz não estar ciente de nenhum ataque que explore essas vulnerabilidades. Todas as falhas têm uma classificação de gravidade de “médio”, “baixo” ou “informativo”, o que sugere que o fornecedor não está preocupado com exploração maliciosa.
FONTE: SECURITY WEEK