Palo Alto Networks Cortex XSOAR未授权访问漏洞(CVE-2021-3044)

发布时间 2021-06-23

0x00 漏洞概述

CVE   ID

CVE-2021-3044

时    间

2021-06-23

类    型

未授权访问

等    级

严重

远程利用

影响范围


攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

未公开

在野利用

 

0x01 漏洞详情

image.png

Cortex? XSOAR是全球网络安全领导企业Palo Alto Networks推出的一个全新扩展的安全编排、自动化与响应平台,并集成了威胁情报管理功能,从而为企业安全提供即时、全面的威胁防御。

2021年06月22日,Palo Alto Networks发布安全公告,修复了Cortex XSOAR中的一个未授权访问漏洞(CVE-2021-3044),该漏洞的CVSSv3评分为9.8。未经身份验证的远程攻击者能够利用此漏洞通过REST API实行未经授权的访问。

该漏洞仅存在于配置了活动的集成API Key的Cortex XSOAR。可以从Cortex XSOAR Web 客户端选择‘Settings > Integration > API Keys’ 来查看配置是否受到影响。


影响范围

Cortex XSOAR 6.1.0:builds >= 1016923 and < 1271064

Cortex XSOAR 6.2.0:builds < 1271065

 

0x02 处置建议

目前此漏洞已经修复,建议参考下表及时升级更新。此外,由Palo Alto Networks托管的所有Cortex XSOAR实例都已升级,不需要再实行其它操作。

版本

受影响版本

不受影响版本

Cortex XSOAR 6.2.0

< 1271065

>= 1271065

Cortex XSOAR 6.1.0

>= 1016923 and < 1271064

< 1016923, >= 1271064

Cortex XSOAR 6.0.2

None

all

Cortex XSOAR 6.0.1

None

all

Cortex XSOAR 6.0.0

None

all

Cortex XSOAR 5.5.0

None

all

 

下载链接:

https://support.paloaltonetworks.com/support

 

缓解措施

撤销所有活动的集成 API Key,从Cortex XSOAR web 客户端的Settings > Integration > API Keys,然后撤销每个API Key。可以将Cortex XSOAR升级到固定版本后创建新的API Key。

限制对Cortex XSOAR服务器的网络访问,只允许受信任的用户访问。

 

0x03 参考链接

https://security.paloaltonetworks.com/CVE-2021-3044

https://security.paloaltonetworks.com/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3044

 

0x04 时间线

2021-06-22  Palo Alto Networks发布安全公告

2021-06-23  VSRC发布安全通告

 

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

image.png