-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Palo Alto PAN-OS
Advisory ID : NCSC-2020-0542
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-1982, CVE-2020-2030, CVE-2020-2031,
CVE-2020-2034
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20200709
Toepassing : Palo Alto GlobalProtect
Palo Alto PAN-OS
Versie(s) : < 9.1.3
< 9.0.9
< 8.1.15
Platform(s) :
Beschrijving
Palo Alto heeft een aantal kwetsbaarheden verholpen in PAN-OS. Een
kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om een
Denial-of-Service te veroorzaken of willekeurige code uit te voeren
met root-rechten.
De kwetsbaarheid met kenmerk CVE-2020-2034 bevindt zich in de
GlobalProtect portal en kan door een ongeauthenticeerde
kwaadwillende op afstand worden misbruikt om willekeurige code uit
te voeren met root-rechten. De kwaadwillende dient hiervoor wel enig
gedetailleerde kennis te hebben van de configuratie van het
kwetsbare systeem en de mogelijkheid om ongedetecteerd een brute
force uit te voeren. De kwetsbaarheid kan niet worden misbruikt
wanneer de GlobalProtect portal niet actief is.
De kwetsbaarheden met kenmerk CVE-2020-2030 en CVE-2020-2031
bevinden zich in de management-interface en stellen een
geauthenticeerde kwaadwillende met admin-rechten in staat om een
Denial-of-Service te veroorzaken, of willekeurige code uit te voeren
onder root-rechten van het besturingssysteem. Een dergelijke
management-interface is volgens goed gebruik niet publiek
toegankelijk.
Tot slot heeft Palo Alto een update uitgebracht om het gebruik van
TLS1.0 uit te schakelen.
Mogelijke oplossingen
Palo Alto heeft updates uitgebracht om de kwetsbaarheden te
verhelpen in PAN-OS. Voor meer informatie, zie:
https://security.paloaltonetworks.com/CVE-2020-1982
https://security.paloaltonetworks.com/CVE-2020-2030
https://security.paloaltonetworks.com/CVE-2020-2031
https://security.paloaltonetworks.com/CVE-2020-2034
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=a2Nl
-----END PGP SIGNATURE-----
