___

​​Вчера американская Palo Alto Networks опубликовала данные о выявленной критической уязвимости CVE-2020-2021 в механизме аутентификации операционной системы PAN-OS, на которой работают все nextgen файрволы Palo Alto. Уязвимость позволяет злоумышленнику обходить аутентификацию PAN-OS и получать доступ к системе в случае отключения опции "Validate Identity Provider Certificate". Отключение этой опции рекомендуют в своих мануалах ряд поставщиков ПО - например, это указывает Microsoft в руководстве по интеграции Azure AD c продуктами Palo Alto Networks. Уязвимость получила оценку критичности 10 из 10. Ее эксплойт не требует от хакера высокой технической подготовки, а в случае успешной атаки злоумышленник может изменить настройки PAN-OS вплоть до отключения файрвола. Исследователи бостонской Rapid7 обнаружили в сети почти 70 тыс. устройств на основе PAN-OS, 40% из которых защищают сети в США. Видимо, в связи с большим количеством критических сетей, на которых стоят файрволы Palo Alto, у Киберкомандования США (USCYBERCOM) пригорело настолько, что они сразу обратились через Twitter с призывом немедленно обновить уязвимое ПО и исправить его настройки. При этом в качестве основной угрозы американское Киберкомандование указывает иностранные прогосударственные APT, которые "вероятно, вскоре попытаются использовать данную уязвимость". Инфосек сообщество с серьезностью угрозы полностью согласно. Если вы используете файрволы от Palo Alto Networks - реагируйте сейчас. Потом может быть поздно.