Palo Alto Cortex XSOAR. Un bug importante sulle API REST.


Un bug di sicurezza critico in Cortex XSOAR di Palo Alto Networks potrebbe consentire agli aggressori remoti di eseguire comandi e automazioni nella War Room Cortex XSOAR e di intraprendere altre azioni sulla piattaforma, senza dover accedere.



Trovato internamente dal redteam di Palo Alto, il bug (CVE-2021-3044) è una vulnerabilità di autorizzazione impropria che:

"consente a un utente malintenzionato remoto non autenticato con accesso di rete al server Cortex XSOAR di eseguire azioni non autorizzate tramite l'API REST"

secondo un avviso del fornitore di martedì. La vulnerabilità è stata valutata con una severity 9,8 su 10 sulla scala di gravità della vulnerabilità CVSS.


Cosa è Cortex XSOAR

Cortex XSOAR è una piattaforma di difesa della sicurezza informatica utilizzata in una varietà di casi d'uso, tra cui l'automazione delle operazioni di sicurezza, la gestione dell'intelligence sulle minacce, la risoluzione automatizzata dei ransomware e l'orchestrazione della sicurezza in cloud. SOAR sta per "orchestrazione, automazione e risposta della sicurezza" e nel caso di Palo Alto il termine viene utilizzato per indicare un approccio unificato alla centralizzazione dell'intelligence sulle minacce e degli avvisi di sicurezza tra le fonti.



La piattaforma Cortex implementa anche flussi di lavoro automatizzati e playbook di risposta e consente la collaborazione in tempo reale tra i team. In quanto tale, è uno tra i prodotti di punta dell'azienda.


Se gli aggressori remoti possono eseguire comandi e automazioni nella War Room, possono potenzialmente sovvertire le indagini di sicurezza in corso, rubare informazioni sui piani d'azione di difesa informatica di una vittima e altro ancora.


Secondo la documentazione online di Palo Alto, le indagini in tempo reale sono facilitate attraverso la War Room, che consente agli analisti (e su sistemi vulnerabili, aggressori remoti) di fare quanto segue:

  • Esegui azioni di sicurezza in tempo reale tramite l'interfaccia a riga di comando, senza cambiare console;

  • Esegui playbook, script e comandi di sicurezza;

  • Collabora ed eseguire azioni remote su prodotti integrati;

  • Cattura il contesto dell'incidente da diverse fonti;

  • Documentare tutte le azioni in un'unica fonte;

  • Conversare con altre persone per velocizzare le indagini congiunte.

"Quando apri la War Room, puoi vedere una serie di voci come comandi, note, prove, attività, ecc."

si legge nella documentazione.



Un fattore attenuante, tuttavia, è il fatto che un avversario, come detto, dovrebbe avere accesso alla stessa rete a cui è collegato Cortex XSOAR, richiedendo un precedente compromissione della rete.


Versioni e patch interessate