Новости CVSS 9,2 и максимальная срочность от самого вендора. Palo Alto Networks просит закрыть дыру в TSA как можно скорее

NewsMaker

I'm just a script
Премиум
28,256
46
8 Ноя 2022
Критическая ошибка в компоненте User-ID TSA позволяет удаленно выполнять код на межсетевых экранах.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
xscemw3rdr2tm9eh00x262j2grj22xeg.jpg

Один специально сформированный сетевой запрос может превратить межсетевой экран Palo Alto Networks из средства защиты в точку проникновения. Уязвимость в PAN-OS позволяет удалённому злоумышленнику без учётной записи нарушить работу устройства, а при успешной атаке потенциально выполнить произвольный код.

Ошибка получила идентификатор CVE-2026-0288 и затрагивает компонент User-ID Terminal Server Agent, сокращённо TSA. Несколько переполнений буфера позволяют повредить память при обработке вредоносного сетевого трафика. Атакующему достаточно получить доступ к адресу и порту TSA, подтверждение личности и действия пользователя не требуются.

Palo Alto Networks присвоила уязвимости высокий уровень опасности и максимальную срочность исправления. Базовая оценка CVSS 4.0 достигает 9,2 балла, а скорректированная с учётом текущей угрозы оценка составляет 7,2 балла. Наибольшему риску подвергаются системы, в которых порт Terminal Server Agent доступен из интернета или недоверенной сети.

Уязвимы только устройства, где настроена хотя бы одна запись Terminal Server Agent. Администраторы могут проверить конфигурацию в разделе Device, User Identification, Terminal Server Agents. Централизованная платформа управления Panorama не затронута. Облачные межсетевые экраны Cloud NGFW в AWS также не требуют исправления, а владельцам развёртываний в Azure следует проверить уведомления от Palo Alto Networks.

Проблема затрагивает несколько выпусков PAN-OS 10.2, 11.1, 11.2 и 12.1, а также Prisma Access 10.2 и 11.2. Компания уже выпустила исправленные сборки, но нужный номер зависит от конкретной ветки и установленного пакета исправлений. Для старых неподдерживаемых версий разработчик рекомендует перейти на актуальный защищённый выпуск. Клиентов Prisma Access обновят во время ближайшего планового обслуживания, при необходимости установку можно запросить раньше через службу поддержки.

До установки обновления Palo Alto Networks советует разрешить соединение с Terminal Server Agent только доверенным внутренним IP-адресам и полностью закрыть соответствующий порт от интернета. Такая настройка заметно сокращает поверхность атаки, хотя не заменяет установку исправления.

На момент публикации Palo Alto Networks не обнаружила признаков эксплуатации CVE-2026-0288 в реальных атаках. Уязвимость нашёл и передал разработчику исследователь Лян Чжу.
 
Источник новости
www.securitylab.ru

Похожие темы