Kritiske oppdateringer knyttet til Palo Alto Networks


Denne uken har det vært svært mange kritiske oppdateringer på flere plattformer. Også sikkerhetsprodukter fra Palo Alto Networks er berørt.


Denne uken har det vært svært mange kritiske oppdateringer på flere plattformer. Også sikkerhetsprodukter fra Palo Alto Networks er berørt.

10. november ble følgende sikkerhetsanbefalinger lagt ut på https://security.paloaltonetworks.com : 

CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces (Severity: 9.8 CRITICAL)
https://security.paloaltonetworks.com/CVE-2021-3064  

Om du har installert en Global Protect Portal eller Gateway bør du oppgradere snarest mulig til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  10.1.* 
PAN-OS 10.0  10.0.* 
PAN-OS 9.1  9.1.* 
PAN-OS 9.0  9.0.* 
PAN-OS 8.1  >= 8.1.17 

 

 CVE-2021-3056 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Clientless VPN During SAML Authentication (Severity 8.8: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3056  

Om du har installert Global Protect Portal med Clientless VPN og SAML autentisering bør du snarest mulig oppgradere til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  10.1.* 
PAN-OS 10.0  >= 10.0.1 
PAN-OS 9.1  >= 9.1.9 
PAN-OS 9.0  >= 9.0.14 
PAN-OS 8.1  >= 8.1.20 

 

CVE-2021-3058 PAN-OS: OS Command Injection Vulnerability in Web Interface XML API (Severity 8.8: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3058  

Om du har brukere som har tilgang til XML API er du berørt og du bør oppgradere til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  >= 10.1.3 
PAN-OS 10.0  >= 10.0.8 
PAN-OS 9.1  >= 9.1.11-h2 
PAN-OS 9.0  >= 9.0.14-h3 
PAN-OS 8.1  >= 8.1.20-h1 

 

CVE-2021-3059 PAN-OS: OS Command Injection Vulnerability When Performing Dynamic Updates (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3059  

Alle brannmurere er i utgangspunktet berørt av denne sårbarheten og du bør oppgradere til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  >= 10.1.3 
PAN-OS 10.0  >= 10.0.8 
PAN-OS 9.1  >= 9.1.11-h2 
PAN-OS 9.0  >= 9.0.14-h3 
PAN-OS 8.1  >= 8.1.20-h1 

 

CVE-2021-3060 PAN-OS: OS Command Injection in Simple Certificate Enrollment Protocol (SCEP) (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3060  

Du er berørte av denne sårbarheten om du benytter Global Protect Portal Og Gateway med SAML autentisering og hvor Master Key på brannmuren ikke er byttet! Da bør du oppgradere til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  >= 10.1.3 
PAN-OS 10.0  >= 10.0.8 
PAN-OS 9.1  >= 9.1.11-h2 
PAN-OS 9.0  >= 9.0.14-h3 
PAN-OS 8.1  >= 8.1.20-h1 

 

CVE-2021-3062 PAN-OS: Improper Access Control Vulnerability Exposing AWS Instance Metadata Endpoint to GlobalProtect Users (Severity 8.1: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3062  

Du er berørte av denne sårbarheten om du benytter Global Protect Portal Og Gateway med SAML autentisering og hvor brannmuren din er i Amazon AWS. Da bør du oppgrader til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  10.1.* on VM-Series 
PAN-OS 10.0  >= 10.0.8 on VM-Series 
PAN-OS 9.1  >= 9.1.11 on VM-Series 
PAN-OS 9.0  >= 9.0.14 on VM-Series 
PAN-OS 8.1  >= 8.1.20 on VM-Series 

 

CVE-2021-3063 PAN-OS: Denial-of-Service (DoS) Vulnerability in GlobalProtect Portal and Gateway Interfaces (Severity 7.5: HIGH)
https://security.paloaltonetworks.com/CVE-2021-3063  

Om du har installert en Global Protect Portal eller Gateway bør du oppgradere til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  >= 10.1.3 
PAN-OS 10.0  >= 10.0.8-h4 
PAN-OS 9.1  >= 9.1.11-h3 
PAN-OS 9.0  >= 9.0.14-h4 
PAN-OS 8.1  >= 8.1.21 

 

CVE-2021-3061 PAN-OS: OS Command Injection Vulnerability in the Command Line Interface (CLI) (Severity 6.4: MEDIUM)
https://security.paloaltonetworks.com/CVE-2021-3061  

Denne sårbarheten krever tilgang til PAN-OS CLI. Vi vil anbefale alle å følge anbefalinger i forhold til MGMT og CLI tilgang som er beskrevet her: https://docs.paloaltonetworks.com/best-practices. I tillegg vil vi anbefale en oppgradering til følgende releaser: 

Versions  Unaffected 
PAN-OS 10.1  >= 10.1.3 
PAN-OS 10.0  >= 10.0.8 
PAN-OS 9.1  >= 9.1.11-h2 
PAN-OS 9.0  >= 9.0.14-h3 
PAN-OS 8.1  >= 8.1.20-h1 

 

Noen ord til slutt

Om du har behov for bistand og hjelp til oppgradering eller gjennomgang av konfigurasjon i forhold til anbefalt oppsett, ta kontakt med din Palo Alto Networks Partner, eller med oss.  

Sicra er en Palo Alto Networks Professional Services Partner og kan bistå med råd og veiledning knyttet til alle deler av sikkerhetsplattformen til Palo Alto Networks. Om dere velger å engasjere som som en PSDP-partner kan dere være trygge på at tjenestene dere mottar er av høyeste kvalitet.