Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Palo Alto urges to restrict access to PAN-OS management interfaces

 

For English, see below.

Beschrijving

Palo Alto heeft een beveiligingsadvies uitgebracht naar aanleiding van een mogelijke ernstige kwetsbaarheid die zich in de managementinterface van PAN-OS-devices bevindt en waar op dit moment nog weinig details over bekend zijn. Om de kans op misbruik van deze kwetsbaarheid te verkleinen, raadt Palo Alto gebruikers aan om de PAN-OS managementinterface alleen bereikbaar te maken voor vertrouwde en interne IP-adressen.

Volgens Palo Alto vindt er op dit moment nog geen actief misbruik van de kwetsbaarheid plaats.

Kwetsbare versies

Het is op dit moment nog niet duidelijk welke versies van PAN-OS kwetsbaar zijn.

Oplossingen en tijdelijke mitigaties

Als een best practice, zou de managementinterface van PAN-OS-devices niet breed opengesteld moeten zijn richting het internet. Toegang tot de interface zou in principe alleen moeten worden toegestaan vanaf interne IP-adressen.

Palo Alto heeft een overzicht van publiek bereikbare PAN-OS-devices van een organisatie opgenomen in het support-portal. Wij raden dan ook aan om in te loggen op https://support.paloaltonetworks.com/ en vervolgens te kijken of er devices voorzien zijn van de tag PAN-SA-2024-0015 via Products → Assets → All Assets → Remediation Required.

Palo Alto heeft daarnaast specifieke stappen voor het afschermen van de management interface beschreven in een blogartikel. Hierin raadt men aan om:

  • De managementinterface te koppelen aan een gescheiden management VLAN.
  • Gebruik te maken van jump servers om toegang tot de managementinterface te kunnen krijgen.
  • Alleen specifieke beheer IP-adressen toegang te verlenen tot de managementinterface.
  • Alleen ICMP/Ping-, SSH- en HTTPS-verkeer open te stellen op de managementinterface.
  • Het standaard generieke admin-account te verwijderen en te vervangen door losse beheeraccounts voor elke beheerder die toegang moet hebben tot het device (met alleen de rollen toegekend die nodig zijn voor het uitvoeren van beheerwerkzaamheden).

Detectie van mogelijk misbruik

Er zijn nog geen indicaties van mogelijk misbruik bekend.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Palo Alto has issued a security advisory because of a potentially severe vulnerability within the management interface of PAN-OS devices, of which few details are currently known. To reduce the risk of exploitation, Palo Alto recommends making the PAN-OS management interface accessible only from trusted and internal IP addresses.

According to Palo Alto, there is currently no active exploitation of the vulnerability.

Vulnerable versions

It is not yet clear which versions of PAN-OS are affected.

Solutions and workarounds

As a best practice, the management interface of PAN-OS devices should not be broadly accessible from the internet. Access to the interface should, in principle, only be allowed from internal IP addresses.

Palo Alto has included an overview of publicly accessible PAN-OS-devices belonging to an organization in its support portal. Users are advised to log in at https://support.paloaltonetworks.com/ and check whether any devices are tagged with PAN-SA-2024-0015 via Products Assets All Assets Remediation Required.

Additionally, Palo Alto has outlined specific steps to secure the management interface in a blog post. These include:

  • Connecting the management interface to a separate management VLAN.
  • Using jump servers to access the management interface.
  • Granting access to the management interface only to specific administrative IP addresses.
  • Exposing only ICMP/Ping, SSH, and HTTPS traffic on the management interface.
  • Removing the default generic admin account and replacing it with individual administrative accounts for each administrator who requires access (assigning only the roles necessary for administrative tasks).

Detection of possible misuse

No indications of potential exploitation are currently known.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl