Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单

admin 2022年4月1日22:05:26安全新闻评论22 views1698字阅读5分39秒阅读模式

Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士




领先的网络安全和网络产品和防火墙提供商Palo Alto Networks (PAN) 公司的支持仪表盘中存在一个bug,导致数千份客户支持工单被暴露给越权个体。被暴露的信息包括创建支持工单的人员姓名和商务联系信息、PAN 公司员工和客户之间的会话。
Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单

从媒体 BleepingComputer 得到的证据来看,某些支持工单中包含多份附件如防火墙日志、配置转储和客户与PAN员工共享的其它调试资产。

在获悉该bug情况的8天后,PAN公司回应称问题已修复。


Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单
今天有什么可以帮助您的呢?


PAN 支持系统中的一个配置不当问题导致敏感信息泄露,可导致客户从其它公司访问非公开支持工单。

一名不愿透露姓名的PAN客户表示,自己在上个月发现了这个问题并告知PAN公司员工,目前问题已修复。该客户还指出,他们可以看到约1989份不属于他们或所在组织机构的支持案例,并分享了截屏。

其中某些支持案例中含有文件附件如防火墙日志、配置转储、网络安全小组 (NSG) 布局、错误报文图像以及客户向PAN共享的以便于解决问题的类似内部文件。

从截屏来看,每个文件旁边都有一个“下载”图表。不过该客户并未共享任意文件且声称并未下载这些文件。

支持工单中暴露的其它信息还包括:

  • 创建这些工单的客户联系姓名、职称、邮件地址和电话号码

  • PAN支持员工和客户之间的会话内容

  • PAN 产品序列号和型号

  • 案例编号、主题和请求严重程度(严重、高危、中危、低危)

这名未具名客户表示,“当我在3月10日注册了Palo Alto 支持账户时,第一批问题就已经发生了。登录后,我的浏览器在访问 Palo Alto 知识库时陷入重定向循环,不过更重要的是,在尝试登录 Palo Alto Hub 安装 Cloud Identity Engine 时会返回403 不充分权限提示。”

这名客户表示将问题告知PAN 支持员工后被告知访问问题已“修复”。“然而,令人惊讶的是,当我登录到支持门户后,不仅可以看到我提交的支持案例,还可以在“我所在公司的案例”标签下看到1990份支持案例。”这名客户解释道。


Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单
PAN:数据未被下载或修改


发现这个访问漏洞后,客户指出马上通知PAN公司,提出了“紧急支持请求”并在LinnkedIn 上联系PAN员工能。

PAN 就此事回应称并未发现数据被下载,且表示泄露范围仅限于一名客户,“我们获悉某个问题可导致授权客户查看一小部分支持案例子集,在正常情况下他们是无法查看的。我们立即启动调查并发现是因为支持系统中的权限配置不当造成的。分析表明并未有数据被下载或修改,问题马上得到修复。”

不过需要注意的是,问题修复花费了8天的时间。8天后,上述客户提到的可访问1900份不相关工单的问题才得以解决。PAN 公司并未回应是否通知相关受影响客户或者是否有此计划。目前,该公司表示客户无需采取任何措施,并指出其产品和服务是安全的。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

速修复!Palo Alto GlobalProtect VPN 中存在严重的远程代码执行漏洞

Palo Alto 再次修复一个严重的 PAN-OS 漏洞

以 Uber 为例,详细说明 Palo Alto SSL VPN 产品中的 RCE 漏洞

Palo Alto 将以3亿美金收购 CIA 旗下的 Evident.io 公司




原文链接

https://www.bleepingcomputer.com/news/security/palo-alto-networks-error-exposed-customer-support-cases-attachments/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单
Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单 觉得不错,就点个 “在看” 或 "” 吧~


原文始发于微信公众号(代码卫士):Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日22:05:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Palo Alto Networks 支持仪表盘漏洞泄露数千份客户支持工单 http://cn-sec.com/archives/863092.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: