漏洞名称 : Cortex XSOAR未认证REST API使用漏洞
CVE-2021-3044
组件名称 : Cortex XSOAR
影响范围 :
Cortex XSOAR 6.2.0 < 1271065
Cortex XSOAR 6.1.0 >= 1016923
Cortex XSOAR 6.1.0 < 1271064
漏洞类型 : 未认证REST API使用
利用条件 :
1、用户认证:不需要用户认证
2、触发方式:远程
综合评价 :
<综合评定利用难度>:未知。
<综合评定威胁等级>:严重,能造成敏感数据访问和命令执行。
漏洞分析
1 组件介绍
Palo Alto Cortex XSOAR是美国 (Palo Alto)公司的一个应用软件,提供安全编排,自动化和响应平台,带有威胁情报管理和内置市场。
2 漏洞描述
近日,深信服安全团队监测到一则Cortex XSOAR组件存在未认证REST API使用漏洞的信息,漏洞编号:CVE-2021-3044,漏洞威胁等级:严重。
攻击者可利用该漏洞在未授权的情况下,访问Cortex XSOAR提供的api,并创建或执行剧本启动对应的自动化流程,最终造成敏感数据访问,执行命令等相关操作。
影响范围
可能受漏洞影响的资产广泛分布于世界各地,主要集中在美国、德国、瑞典等国家。
目前受影响的Cortex XSOAR版本:
Cortex XSOAR 6.2.0 < 1271065
Cortex XSOAR 6.1.0 >= 1016923
Cortex XSOAR 6.1.0 < 1271064
解决方案
1 官方解决方案
Cortex XSOAR厂商已发布安全通告,建议受影响的用户及时更新升级到最新版本,链接如下:
https://security.paloaltonetworks.com/CVE-2021-3044
2 临时修复建议
撤销所有的active API(活跃API秘钥)秘钥可以缓解该漏洞的影响。
具体步骤:
1.在Cortex XSOAR中查看所有的API Key:Settings > Integration > API Keys
2.逐一撤销API Key
3.利用请求白名单的方式限制Cortex XSOAR的请求对象
时间轴
2021/6/22 Palo Alto官方发布安全通告。
2021/6/23 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Cortex XSOAR未认证REST API使用漏洞 CVE-2021-3044
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论