Palo Alto Cortex XSOAR. Un bug importante sulle API REST.


Un bug di sicurezza critico in Cortex XSOAR di Palo Alto Networks potrebbe consentire agli aggressori remoti di eseguire comandi e automazioni nella War Room Cortex XSOAR e di intraprendere altre azioni sulla piattaforma, senza dover accedere.



Trovato internamente dal redteam di Palo Alto, il bug (CVE-2021-3044) è una vulnerabilità di autorizzazione impropria che:

"consente a un utente malintenzionato remoto non autenticato con accesso di rete al server Cortex XSOAR di eseguire azioni non autorizzate tramite l'API REST"

secondo un avviso del fornitore di martedì. La vulnerabilità è stata valutata con una severity 9,8 su 10 sulla scala di gravità della vulnerabilità CVSS.


Cosa è Cortex XSOAR

Cortex XSOAR è una piattaforma di difesa della sicurezza informatica utilizzata in una varietà di casi d'uso, tra cui l'automazione delle operazioni di sicurezza, la gestione dell'intelligence sulle minacce, la risoluzione automatizzata dei ransomware e l'orchestrazione della sicurezza in cloud. SOAR sta per "orchestrazione, automazione e risposta della sicurezza" e nel caso di Palo Alto il termine viene utilizzato per indicare un approccio unificato alla centralizzazione dell'intelligence sulle minacce e degli avvisi di sicurezza tra le fonti.



La piattaforma Cortex implementa anche flussi di lavoro automatizzati e playbook di risposta e consente la collaborazione in tempo reale tra i team. In quanto tale, è uno tra i prodotti di punta dell'azienda.


Se gli aggressori remoti possono eseguire comandi e automazioni nella War Room, possono potenzialmente sovvertire le indagini di sicurezza in corso, rubare informazioni sui piani d'azione di difesa informatica di una vittima e altro ancora.


Secondo la documentazione online di Palo Alto, le indagini in tempo reale sono facilitate attraverso la War Room, che consente agli analisti (e su sistemi vulnerabili, aggressori remoti) di fare quanto segue:

  • Esegui azioni di sicurezza in tempo reale tramite l'interfaccia a riga di comando, senza cambiare console;

  • Esegui playbook, script e comandi di sicurezza;

  • Collabora ed eseguire azioni remote su prodotti integrati;

  • Cattura il contesto dell'incidente da diverse fonti;

  • Documentare tutte le azioni in un'unica fonte;

  • Conversare con altre persone per velocizzare le indagini congiunte.

"Quando apri la War Room, puoi vedere una serie di voci come comandi, note, prove, attività, ecc."

si legge nella documentazione.



Un fattore attenuante, tuttavia, è il fatto che un avversario, come detto, dovrebbe avere accesso alla stessa rete a cui è collegato Cortex XSOAR, richiedendo un precedente compromissione della rete.


Versioni e patch interessate

Il problema riguarda solo le configurazioni Cortex XSOAR con integrazioni di chiavi API attive, e in particolare le seguenti versioni:

  1. Cortex XSOAR 6.1.0 build successive alla 1016923 e precedenti alla 1271064

  2. Cortex XSOAR 6.2.0 build precedenti alla 1271065.

Per proteggersi, gli utenti devono aggiornare alla versione più recenti e revocare tutte le chiavi API di integrazione attive per mitigare completamente l'impatto del problema, ha osservato il fornitore.


Gli utenti possono creare nuove chiavi API una volta completato l'aggiornamento. Palo Alto ha affermato di non essere a conoscenza di alcuno sfruttamento del bug in natura.



Fonte

https://threatpost.com/critical-palo-alto-bug-remote-war-room/167169/