Vendor keamanan memicu kontroversi menggunakan cacat yang tidak diungkapkan selama berbulan-bulan – Keamanan – Jaringan
Technology

Vendor keamanan memicu kontroversi menggunakan cacat yang tidak diungkapkan selama berbulan-bulan – Keamanan – Jaringan

Pengungkapan kerentanan kritis, dinilai sebagai 9,8 dari 10, yang memengaruhi peralatan firewall Palo Alto Networks dengan GlobalProtect Portal VPN diaktifkan, menciptakan kontroversi dalam industri keamanan karena tampaknya satu vendor menggunakannya selama hampir satu tahun untuk “Tim Merah ” pengujian penetrasi sebelum mengungkapkannya ke vendor.

Vendor keamanan Randori mengembangkan eksploitasi yang berfungsi untuk kelemahan CVE-2021-3064 yang memengaruhi beberapa versi PAN-OS yang menjalankan firewall yang bersangkutan, membuat lebih dari 10.000 perangkat yang terhubung ke internet terkena eksploitasi oleh penyerang.

Randori mengatakan mulai meneliti GlobalProtect Portal VPN pada Oktober tahun lalu, dan menemukan bug buffer overflow dan metode melewati validasi oleh server web eksternal yang disebut penyelundupan HTTP.

Pada Desember 2020, Randori mengatakan mulai “penggunaan resmi rantai kerentanan” sebagai bagian dari platform serangan Tim Merah otomatis.

Namun, baru pada bulan September dan Oktober tahun ini, Randori mengungkapkan buffer overflow dan bug penyelundupan HTTP ke Palo Alto Networks, yang menetapkan pengenal Common Vulnerabilities and Exposures untuk kekurangannya.

Palo Alto Networks mengeluarkan tambalan pada bulan berikutnya, tetapi Randori belum menjelaskan mengapa perlu waktu sembilan bulan untuk melaporkan kerentanan kepada vendor.

Komunitas infosec awalnya terkejut dalam jangka waktu yang lama sebelum Randori mengungkapkan kerentanan terhadap Palo Alto Networks, mempertanyakan etika melakukannya saat menggunakan kelemahan tersebut sebagai bagian dari konsultasi Tim Merahnya.

Sekarang tampaknya Jaringan Palo Alto tetap bug diam-diam pada bulan September tahun lalu tetapi apakah itu disengaja atau tidak tidak jelas.

Palo Alto Networks belum menjelaskan mengapa mereka menetapkan CVE hanya tahun ini untuk bug tersebut, dan mengeluarkan patch resmi untuk itu.


Posted By : pengeluaran hk hari ini 2021