聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
從媒體 BleepingComputer 得到的證據來看,某些支持工單中包含多份附件如防火牆日誌、配置轉儲和客戶與PAN員工共享的其它調試資產。
在獲悉該bug情況的8天後,PAN公司回應稱問題已修復。
PAN 支持系統中的一個配置不當問題導致敏感信息泄露,可導致客戶從其它公司訪問非公開支持工單。
一名不願透露姓名的PAN客戶表示,自己在上個月發現了這個問題並告知PAN公司員工,目前問題已修復。該客戶還指出,他們可以看到約1989份不屬於他們或所在組織機構的支持案例,並分享了截屏。
其中某些支持案例中含有文件附件如防火牆日誌、配置轉儲、網絡安全小組 (NSG) 布局、錯誤報文圖像以及客戶向PAN共享的以便於解決問題的類似內部文件。
從截屏來看,每個文件旁邊都有一個「下載」圖表。不過該客戶並未共享任意文件且聲稱並未下載這些文件。
支持工單中暴露的其它信息還包括:
創建這些工單的客戶聯繫姓名、職稱、郵件地址和電話號碼
PAN支持員工和客戶之間的會話內容
PAN 產品序列號和型號
案例編號、主題和請求嚴重程度(嚴重、高危、中危、低危)
這名未具名客戶表示,「當我在3月10日註冊了Palo Alto 支持賬戶時,第一批問題就已經發生了。登錄後,我的瀏覽器在訪問 Palo Alto 知識庫時陷入重定向循環,不過更重要的是,在嘗試登錄 Palo Alto Hub 安裝 Cloud Identity Engine 時會返回403 不充分權限提示。」
這名客戶表示將問題告知PAN 支持員工後被告知訪問問題已「修復」。「然而,令人驚訝的是,當我登錄到支持門戶後,不僅可以看到我提交的支持案例,還可以在「我所在公司的案例」標籤下看到1990份支持案例。」這名客戶解釋道。
發現這個訪問漏洞後,客戶指出馬上通知PAN公司,提出了「緊急支持請求」並在LinnkedIn 上聯繫PAN員工能。
PAN 就此事回應稱並未發現數據被下載,且表示泄露範圍僅限於一名客戶,「我們獲悉某個問題可導致授權客戶查看一小部分支持案例子集,在正常情況下他們是無法查看的。我們立即啟動調查並發現是因為支持系統中的權限配置不當造成的。分析表明並未有數據被下載或修改,問題馬上得到修復。」
不過需要注意的是,問題修復花費了8天的時間。8天後,上述客戶提到的可訪問1900份不相關工單的問題才得以解決。PAN 公司並未回應是否通知相關受影響客戶或者是否有此計劃。目前,該公司表示客戶無需採取任何措施,並指出其產品和服務是安全的。
速修復!Palo Alto GlobalProtect VPN 中存在嚴重的遠程代碼執行漏洞
Palo Alto 再次修復一個嚴重的 PAN-OS 漏洞
以 Uber 為例,詳細說明 Palo Alto SSL VPN 產品中的 RCE 漏洞
Palo Alto 將以3億美金收購 CIA 旗下的 Evident.io 公司
https://www.bleepingcomputer.com/news/security/palo-alto-networks-error-exposed-customer-support-cases-attachments/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表