聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
领先的网络安全和网络产品和防火墙提供商Palo Alto Networks (PAN) 公司的支持仪表盘中存在一个bug,导致数千份客户支持工单被暴露给越权个体。被暴露的信息包括创建支持工单的人员姓名和商务联系信息、PAN 公司员工和客户之间的会话。
从媒体 BleepingComputer 得到的证据来看,某些支持工单中包含多份附件如防火墙日志、配置转储和客户与PAN员工共享的其它调试资产。
在获悉该bug情况的8天后,PAN公司回应称问题已修复。
今天有什么可以帮助您的呢?
PAN 支持系统中的一个配置不当问题导致敏感信息泄露,可导致客户从其它公司访问非公开支持工单。
一名不愿透露姓名的PAN客户表示,自己在上个月发现了这个问题并告知PAN公司员工,目前问题已修复。该客户还指出,他们可以看到约1989份不属于他们或所在组织机构的支持案例,并分享了截屏。
其中某些支持案例中含有文件附件如防火墙日志、配置转储、网络安全小组 (NSG) 布局、错误报文图像以及客户向PAN共享的以便于解决问题的类似内部文件。
从截屏来看,每个文件旁边都有一个“下载”图表。不过该客户并未共享任意文件且声称并未下载这些文件。
支持工单中暴露的其它信息还包括:
创建这些工单的客户联系姓名、职称、邮件地址和电话号码
PAN支持员工和客户之间的会话内容
PAN 产品序列号和型号
案例编号、主题和请求严重程度(严重、高危、中危、低危)
这名未具名客户表示,“当我在3月10日注册了Palo Alto 支持账户时,第一批问题就已经发生了。登录后,我的浏览器在访问 Palo Alto 知识库时陷入重定向循环,不过更重要的是,在尝试登录 Palo Alto Hub 安装 Cloud Identity Engine 时会返回403 不充分权限提示。”
这名客户表示将问题告知PAN 支持员工后被告知访问问题已“修复”。“然而,令人惊讶的是,当我登录到支持门户后,不仅可以看到我提交的支持案例,还可以在“我所在公司的案例”标签下看到1990份支持案例。”这名客户解释道。
PAN:数据未被下载或修改
发现这个访问漏洞后,客户指出马上通知PAN公司,提出了“紧急支持请求”并在LinnkedIn 上联系PAN员工能。
PAN 就此事回应称并未发现数据被下载,且表示泄露范围仅限于一名客户,“我们获悉某个问题可导致授权客户查看一小部分支持案例子集,在正常情况下他们是无法查看的。我们立即启动调查并发现是因为支持系统中的权限配置不当造成的。分析表明并未有数据被下载或修改,问题马上得到修复。”
不过需要注意的是,问题修复花费了8天的时间。8天后,上述客户提到的可访问1900份不相关工单的问题才得以解决。PAN 公司并未回应是否通知相关受影响客户或者是否有此计划。目前,该公司表示客户无需采取任何措施,并指出其产品和服务是安全的。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
速修复!Palo Alto GlobalProtect VPN 中存在严重的远程代码执行漏洞
以 Uber 为例,详细说明 Palo Alto SSL VPN 产品中的 RCE 漏洞
Palo Alto 将以3亿美金收购 CIA 旗下的 Evident.io 公司
原文链接
https://www.bleepingcomputer.com/news/security/palo-alto-networks-error-exposed-customer-support-cases-attachments/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
