Palo Alto Cortex XSOAR. Un bug importante sulle API REST.

Redazione RHC : 24 Giugno 2021 10:41

Un bug di sicurezza critico in Cortex XSOAR di Palo Alto Networks potrebbe consentire agli aggressori remoti di eseguire comandi e automazioni nella War Room Cortex XSOAR e di intraprendere altre azioni sulla piattaforma, senza dover accedere.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Trovato internamente dal redteam di Palo Alto, il bug (CVE-2021-3044) è una vulnerabilità di autorizzazione impropria che:

“consente a un utente malintenzionato remoto non autenticato con accesso di rete al server Cortex XSOAR di eseguire azioni non autorizzate tramite l’API REST”

secondo un avviso del fornitore di martedì. La vulnerabilità è stata valutata con una severity 9,8 su 10 sulla scala di gravità della vulnerabilità CVSS.

Cosa è Cortex XSOAR

Cortex XSOAR è una piattaforma di difesa della sicurezza informatica utilizzata in una varietà di casi d’uso, tra cui l’automazione delle operazioni di sicurezza, la gestione dell’intelligence sulle minacce, la risoluzione automatizzata dei ransomware e l’orchestrazione della sicurezza in cloud. SOAR sta per “orchestrazione, automazione e risposta della sicurezza” e nel caso di Palo Alto il termine viene utilizzato per indicare un approccio unificato alla centralizzazione dell’intelligence sulle minacce e degli avvisi di sicurezza tra le fonti.

La piattaforma Cortex implementa anche flussi di lavoro automatizzati e playbook di risposta e consente la collaborazione in tempo reale tra i team. In quanto tale, è uno tra i prodotti di punta dell’azienda.

Se gli aggressori remoti possono eseguire comandi e automazioni nella War Room, possono potenzialmente sovvertire le indagini di sicurezza in corso, rubare informazioni sui piani d’azione di difesa informatica di una vittima e altro ancora.

Secondo la documentazione online di Palo Alto, le indagini in tempo reale sono facilitate attraverso la War Room, che consente agli analisti (e su sistemi vulnerabili, aggressori remoti) di fare quanto segue:

• Esegui azioni di sicurezza in tempo reale tramite l’interfaccia a riga di comando, senza cambiare console;
• Esegui playbook, script e comandi di sicurezza;
• Collabora ed eseguire azioni remote su prodotti integrati;
• Cattura il contesto dell’incidente da diverse fonti;
• Documentare tutte le azioni in un’unica fonte;
• Conversare con altre persone per velocizzare le indagini congiunte.

“Quando apri la War Room, puoi vedere una serie di voci come comandi, note, prove, attività, ecc.”

si legge nella documentazione.

Un fattore attenuante, tuttavia, è il fatto che un avversario, come detto, dovrebbe avere accesso alla stessa rete a cui è collegato Cortex XSOAR, richiedendo un precedente compromissione della rete.

Versioni e patch interessate

Il problema riguarda solo le configurazioni Cortex XSOAR con integrazioni di chiavi API attive, e in particolare le seguenti versioni:

1. Cortex XSOAR 6.1.0 build successive alla 1016923 e precedenti alla 1271064
2. Cortex XSOAR 6.2.0 build precedenti alla 1271065.

Per proteggersi, gli utenti devono aggiornare alla versione più recenti e revocare tutte le chiavi API di integrazione attive per mitigare completamente l’impatto del problema, ha osservato il fornitore.

Gli utenti possono creare nuove chiavi API una volta completato l’aggiornamento. Palo Alto ha affermato di non essere a conoscenza di alcuno sfruttamento del bug in natura.

Fonte

https://threatpost.com/critical-palo-alto-bug-remote-war-room/167169/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli