Kritiske oppdateringer knyttet til Palo Alto Networks
Denne uken har det vært svært mange kritiske oppdateringer på flere plattformer. Også sikkerhetsprodukter fra Palo Alto Networks er berørt.
10. november ble følgende sikkerhetsanbefalinger lagt ut på https://security.paloaltonetworks.com :
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces (Severity: 9.8 CRITICAL)
https://security.paloaltonetworks.com/CVE-2021-3064
Om du har installert en Global Protect Portal eller Gateway bør du oppgradere snarest mulig til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | 10.1.* |
| PAN-OS 10.0 | 10.0.* |
| PAN-OS 9.1 | 9.1.* |
| PAN-OS 9.0 | 9.0.* |
| PAN-OS 8.1 | >= 8.1.17 |
CVE-2021-3056 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Clientless VPN During SAML Authentication (Severity 8.8: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3056
Om du har installert Global Protect Portal med Clientless VPN og SAML autentisering bør du snarest mulig oppgradere til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | 10.1.* |
| PAN-OS 10.0 | >= 10.0.1 |
| PAN-OS 9.1 | >= 9.1.9 |
| PAN-OS 9.0 | >= 9.0.14 |
| PAN-OS 8.1 | >= 8.1.20 |
CVE-2021-3058 PAN-OS: OS Command Injection Vulnerability in Web Interface XML API (Severity 8.8: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3058
Om du har brukere som har tilgang til XML API er du berørt og du bør oppgradere til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | >= 10.1.3 |
| PAN-OS 10.0 | >= 10.0.8 |
| PAN-OS 9.1 | >= 9.1.11-h2 |
| PAN-OS 9.0 | >= 9.0.14-h3 |
| PAN-OS 8.1 | >= 8.1.20-h1 |
CVE-2021-3059 PAN-OS: OS Command Injection Vulnerability When Performing Dynamic Updates (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3059
Alle brannmurere er i utgangspunktet berørt av denne sårbarheten og du bør oppgradere til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | >= 10.1.3 |
| PAN-OS 10.0 | >= 10.0.8 |
| PAN-OS 9.1 | >= 9.1.11-h2 |
| PAN-OS 9.0 | >= 9.0.14-h3 |
| PAN-OS 8.1 | >= 8.1.20-h1 |
CVE-2021-3060 PAN-OS: OS Command Injection in Simple Certificate Enrollment Protocol (SCEP) (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3060
Du er berørte av denne sårbarheten om du benytter Global Protect Portal Og Gateway med SAML autentisering og hvor Master Key på brannmuren ikke er byttet! Da bør du oppgradere til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | >= 10.1.3 |
| PAN-OS 10.0 | >= 10.0.8 |
| PAN-OS 9.1 | >= 9.1.11-h2 |
| PAN-OS 9.0 | >= 9.0.14-h3 |
| PAN-OS 8.1 | >= 8.1.20-h1 |
CVE-2021-3062 PAN-OS: Improper Access Control Vulnerability Exposing AWS Instance Metadata Endpoint to GlobalProtect Users (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3062
Du er berørte av denne sårbarheten om du benytter Global Protect Portal Og Gateway med SAML autentisering og hvor brannmuren din er i Amazon AWS. Da bør du oppgrader til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | 10.1.* on VM-Series |
| PAN-OS 10.0 | >= 10.0.8 on VM-Series |
| PAN-OS 9.1 | >= 9.1.11 on VM-Series |
| PAN-OS 9.0 | >= 9.0.14 on VM-Series |
| PAN-OS 8.1 | >= 8.1.20 on VM-Series |
CVE-2021-3063 PAN-OS: Denial-of-Service (DoS) Vulnerability in GlobalProtect Portal and Gateway Interfaces (Severity 7.5: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3063
Om du har installert en Global Protect Portal eller Gateway bør du oppgradere til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | >= 10.1.3 |
| PAN-OS 10.0 | >= 10.0.8-h4 |
| PAN-OS 9.1 | >= 9.1.11-h3 |
| PAN-OS 9.0 | >= 9.0.14-h4 |
| PAN-OS 8.1 | >= 8.1.21 |
CVE-2021-3061 PAN-OS: OS Command Injection Vulnerability in the Command Line Interface (CLI) (Severity 6.4: MEDIUM)
https://security.paloaltonetworks.com/CVE-2021-3061
Denne sårbarheten krever tilgang til PAN-OS CLI. Vi vil anbefale alle å følge anbefalinger i forhold til MGMT og CLI tilgang som er beskrevet her: https://docs.paloaltonetworks.com/best-practices. I tillegg vil vi anbefale en oppgradering til følgende releaser:
| Versions | Unaffected |
| PAN-OS 10.1 | >= 10.1.3 |
| PAN-OS 10.0 | >= 10.0.8 |
| PAN-OS 9.1 | >= 9.1.11-h2 |
| PAN-OS 9.0 | >= 9.0.14-h3 |
| PAN-OS 8.1 | >= 8.1.20-h1 |
Noen ord til slutt
Om du har behov for bistand og hjelp til oppgradering eller gjennomgang av konfigurasjon i forhold til anbefalt oppsett, ta kontakt med din Palo Alto Networks Partner, eller med oss.
Sicra er en Palo Alto Networks Professional Services Partner og kan bistå med råd og veiledning knyttet til alle deler av sikkerhetsplattformen til Palo Alto Networks. Om dere velger å engasjere som som en PSDP-partner kan dere være trygge på at tjenestene dere mottar er av høyeste kvalitet.