Logo NCSC
NCSC | Beveiligingsadviezen

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2021-0998

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Palo Alto PAN-OS en
                  GlobalProtect
Advisory ID     : NCSC-2021-0998
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2021-3056, CVE-2021-3058, CVE-2021-3059,
                  CVE-2021-3060, CVE-2021-3061, CVE-2021-3062,
                  CVE-2021-3063, CVE-2021-3064
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Administrator/Root rechten)
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20211111
Toepassing      : Palo Alto GlobalProtect
Versie(s)       : < 8.1.17
Platform(s)     : Palo Alto Networks PAN-OS

Beschrijving
   Palo Alto Networks heeft kwetsbaarheden verholpen in PAN-OS. De
   kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen
   uit te voeren die leiden tot de volgende categorieën schade:

   * Omzeilen van beveiligingsmaatregel
   * (Remote) code execution (Administrator/Root rechten)
   * Denial-of-Service (DoS)
   * Verhoogde gebruikersrechten

   De kwetsbaarheid met kenmerk CVE-2021-3064 bevindt zich in Palo Alto
   GlobalProtect en is alleen aanwezig op apparaten die gebruik maken
   van PAN-OS 8.1 ouder dan 8.1.17. De kwetsbaarheid maakt het voor een
   ongeauthenticeerde kwaadwillende mogelijk om onder root-rechten
   willekeurige code uit te voeren. Voor succesvol misbruik is toegang
   tot poort 443 vereist. Dit is de GlobalProtect servicepoort welke
   veelal vanaf het internet toegankelijk is. Palo Alto heeft de
   kwetsbaarheid met een CVSS3.1-score van 9.8 als "critical"
   beoordeeld. De verwachting is dat de kwetsbaarheid op korte termijn
   door kwaadwillenden zal worden misbruikt.

Mogelijke oplossingen
   Palo Alto Networks heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen. Voor meer informatie, zie:

   https://security.paloaltonetworks.com/CVE-2021-3064
   https://security.paloaltonetworks.com/CVE-2021-3063
   https://security.paloaltonetworks.com/CVE-2021-3061
   https://security.paloaltonetworks.com/CVE-2021-3058
   https://security.paloaltonetworks.com/CVE-2021-3059
   https://security.paloaltonetworks.com/CVE-2021-3060
   https://security.paloaltonetworks.com/CVE-2021-3062
   https://security.paloaltonetworks.com/CVE-2021-3056

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBYYzVjeEs56R4sCd0AQrAIgv/cYsBqXFYkQHWpGFedB3Q5PhS/wjW/kPz
YvMQSQSwONFnFssfPWbRET63oVhnc5Fm6w9g+2YNQtHfNt035UcApWrVEXyKoZ9J
RQAg5et6xBAIRBqlhJCZYmL14bZBRbIT3r12cEdh6O6TJSZLdfGe0e8Bj/JravPu
ER7LdKlj21wIoreOt19JRRsrORJCyUsWIQnLrbiIqi/TSgPU5DPLc1pJ76bvo2lO
LQ8j0TbwmJR/GaLZC09PenxDk1P7xv+lShr+gh+REru7qZkwTQJBmtyAMlLlDNwb
Odo0PALeNgROhl9dx/Uw9P25T6XSJW/a82rLvuNSz5TdJxqh9u6fNwAYAcloMkEZ
bfCzbH/V/Lkkr7ZfkCRAF/jL5ZVdXBhknes0pgvI4CjB4qKA/j8LDUqXySW31+Al
tALqkETS4Sdu+N4hHswrwwjQEpdVjpiLz71Z5qH6yfkEk+wkeHsWW6sPaYVNG4KT
JFgLr61cMZrxwTpIQGdCmZza3JyKDNhE
=wkUk
-----END PGP SIGNATURE-----