O eroare privind validarea certificatelor Palo Alto permite escaladarea privilegiilor

O vulnerabilitate de securitate semnificativă a fost descoperită în aplicația GlobalProtect de la Palo Alto Networks, permițând atacatorilor să escaladeze privilegiile pe sistemele afectate.

Vulnerabilitatea, ce provine din validarea necorespunzătoare a certificatelor, permite persoanelor rău intenționate să conecteze aplicația GlobalProtect la servere arbitrare, permițând instalarea de certificate root malițioase și software în cadrul endpoint-urilor.

Vulnerabilitatea afectează mai multe versiuni ale aplicației GlobalProtect, inclusiv:

• Toate versiunile de GlobalProtect App 6.3, 6.1, 6.0 și 5.1;
• Versiunile GlobalProtect App 6.2 anterioare versiunii 6.2.6 pe Windows;
• Toate versiunile GlobalProtect App 6.2 pe macOS și Linux;
• Toate versiunile GlobalProtect UWP App pe Windows.

Deși Palo Alto Networks a declarat că nu are cunoștință de exploatări malițioase privind vulnerabilitatea, impactul potențial rămâne semnificativ.

Vulnerabilitatea este clasificată în categoriile CWE-295 (validarea necorespunzătoare a certificatelor) și CAPEC-233 (escaladarea privilegiilor), evidențiind riscul de acces neautorizat și de compromitere a sistemului.

Palo Alto Networks a remediat această vulnerabilitate în aplicația GlobalProtect versiunea 6.2.6 și versiunile ulterioare pe Windows.

Utilizatorii sunt sfătuiți să își actualizeze software-ul la cea mai recentă versiune.

Pentru cei care nu pot actualiza imediat, este disponibilă o soluție prin utilizarea aplicației GlobalProtect în modul FIPS-CC. Această comandă asigură verificarea întregului lanț de certificate și specifică depozitul de certificate și locația pentru validare.

• msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY=”yes” CERTSTORE=”machine” CERTLOCATION=”ROOT”

Sursă: https://cybersecuritynews.com/palo-alto-certificate-validation-flaw/