An unauthenticated attacker can exploit a vulnerability in Palo Alto Networks PAN-OS and Prisma Access GlobalProtect components to establish a VPN connection and gain access to internal systems. Exploitation requires certificate reuse and the "Generate/Accept cookie for authentication override" feature to be enabled. Rapid7 reports active exploitation and public proof-of-concept code is available, leading the NCSC to expect increased abuse.
Palo Alto Networks heeft een kwetsbaarheid verholpen in de GlobalProtect portal- en gateway-componenten van PAN-OS. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het opzetten van een VPN-verbinding. Zodoende krijgt de kwaadwillende toegang tot interne systemen die via de VPN-verbinding worden aangeboden. Systemen zijn alleen kwetsbaar wanneer (HTTPS-)certificaten worden hergebruikt en de optie "Generate cookie for authentication override" of "Accept cookie for authentication override" is ingeschakeld. Beveiligingsbedrijf Rapid7 meldt dat de kwetsbaarheid actief wordt misbruikt. Daarnaast is voor de kwetsbaarheid proof-of-conceptcode (PoC-code) publiekelijk beschikbaar. Gegeven de beschikbaarheid van de PoC-code, de algemene interesse van kwaadwillenden in edge-devices en de toegang die kwaadwillenden via deze kwetsbaarheid verkrijgen, verwacht het NCSC dat de schaal van misbruik de komende tijd toeneemt.