Palo Alto Networks Cortex XSOAR未授权访问漏洞(CVE-2021-3044)

宣布时间 2021-06-23

0x00 漏洞概述

CVE   ID

CVE-2021-3044

时    间

2021-06-23

类    型

未授权访问

等    级

严重

远程利用

影响范围


攻击庞大度

可用性

用户交互

所需权限

PoC/EXP

未果然

在野利用

 

0x01 漏洞详情

image.png

Cortex? XSOAR是全球网络宁静领导企业Palo Alto Networks推出的一个全新扩展的宁静编排、自动化与响应平台,并集成了威胁情报管理功效,从而为企业宁静提供即时、全面的威胁防御 。

2021年06月22日,Palo Alto Networks宣布宁静通告,修复了Cortex XSOAR中的一个未授权访问漏洞(CVE-2021-3044),该漏洞的CVSSv3评分为9.8 。未经身份验证的远程攻击者能够利用此漏洞通过REST API执行未经授权的访问 。

该漏洞仅存在于配置了活动的集成API Key的Cortex XSOAR �?梢源覥ortex XSOAR Web 客户端选择‘Settings > Integration > API Keys’ 来检察配置是否受到影响 。


影响范围

Cortex XSOAR 6.1.0:builds >= 1016923 and < 1271064

Cortex XSOAR 6.2.0:builds < 1271065

 

0x02 处置建议

目前此漏洞已经修复,建议参考下表及时升级更新 。此外,由Palo Alto Networks托管的所有Cortex XSOAR实例都已升级,不需要再执行其它操作 。

版本

受影响版本

不受影响版本

Cortex XSOAR 6.2.0

< 1271065

>= 1271065

Cortex XSOAR 6.1.0

>= 1016923 and < 1271064

< 1016923, >= 1271064

Cortex XSOAR 6.0.2

None

all

Cortex XSOAR 6.0.1

None

all

Cortex XSOAR 6.0.0

None

all

Cortex XSOAR 5.5.0

None

all

 

下载链接:

https://support.paloaltonetworks.com/support

 

缓解措施

取消所有活动的集成 API Key,从Cortex XSOAR web 客户端的Settings > Integration > API Keys,然后取消每个API Key �?梢越獵ortex XSOAR升级到牢固版本后创建新的API Key 。

限制对Cortex XSOAR服务器的网络访问,只允许受信任的用户访问 。

 

0x03 参考链接

https://security.paloaltonetworks.com/CVE-2021-3044

https://security.paloaltonetworks.com/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3044

 

0x04 时间线

2021-06-22  Palo Alto Networks宣布宁静通告

2021-06-23  VSRC宣布宁静通告

 

0x05 附录

CVSS评分尺度官网:http://www.first.org/cvss/

image.png