Llegamos a ustedes gracias a:



Alertas de Seguridad

Cisco y Palo Alto Networks corrigen vulnerabilidades

Relacionadas con el bypass de autenticación de Kerberos.

[15/05/2020] Cisco Systems y Palo Alto Networks han corregido vulnerabilidades similares de alto riesgo en sus dispositivos de seguridad de la red, causadas por un descuido en la aplicación del protocolo Kerberos. Los atacantes del hombre en el medio (MitM, por sus siglas en inglés) podrían explotar estas debilidades para obtener el control administrativo de los aparatos.

Los investigadores de la empresa de seguridad Silverfort descubrieron ambas vulnerabilidades, que son similares y podrían existir en otras implementaciones de Kerberos. Cisco parcheó la falla a principios de este mes y Palo Alto Networks esta semana.

Las vulnerabilidades de Kerberos

La vulnerabilidad en PAN-OS, el sistema operativo que funciona en los dispositivos y aparatos de seguridad de la red de Palo Alto Networks, se rastrea como CVE-2020-2002 y se clasifica como de alto riesgo. La falla existe en las versiones de PAN-OS 7.1 anteriores a la 7.1.26, en las versiones de PAN-OS 8.1 anteriores a la 8.1.13, en las versiones de PAN-OS 9.0 anteriores a la 9.0.6, y en todas las versiones de PAN-OS 8.0. PAN-OS 8.0 ha llegado al final del soporte y no ha recibido ninguna actualización.

"Existe una vulnerabilidad de desviación de la autenticación por suplantación de identidad en el demonio de autenticación y en los componentes de identificación de usuario de PAN-OS de Palo Alto Networks al no verificar la integridad del centro de distribución de claves (KDC) de Kerberos antes de autenticar a los usuarios", señaló la compañía en su aviso. "Esto afecta a todas las formas de autenticación que utilizan un perfil de autenticación Kerberos. Un atacante de tipo hombre en el medio con la capacidad de interceptar la comunicación entre PAN-OS y KDC puede ingresar a PAN-OS como administrador".

Una vulnerabilidad similar, rastreada como CVE-2020-3125, existe en el software Cisco Adaptive Security Appliance (ASA) y fue parcheada el 6 de mayo. Los dispositivos que ejecutan el Cisco ASA Software están afectados si tienen la autenticación Kerberos configurada para el acceso a la VPN o al dispositivo local.

El aviso de Cisco contiene instrucciones manuales para que los administradores comprueben si la autenticación Kerberos está configurada, así como una tabla con las versiones fijas de Cisco ASA. Sin embargo, la empresa advierte que para resolver este problema es necesario hacer algunos cambios de configuración incluso después de que el software haya sido actualizado.

"Los dispositivos Cisco ASA son vulnerables y todavía pueden ser explotados a menos que los comandos CLI validate-kdc y aaa kerberos import-keytab estén configurados", anotó Cisco. "Estos nuevos comandos de configuración aseguran que el ASA valide el KDC durante cada transacción de autenticación de usuario, lo que evita la vulnerabilidad que se describe en este aviso de seguridad".

Hacerse pasar por el Centro de Distribución de Claves de Kerberos

Kerberos es un protocolo de autenticación popular en los entornos de directorio activo de las empresas. Sin embargo, para proporcionar la máxima seguridad el protocolo tiene tres pasos de autenticación: El usuario se autentica ante el servidor, el servidor se autentica ante el cliente y el centro de distribución de claves Kerberos (KDC) se autentica ante el servidor.

"Aparentemente, la autenticación del KDC al servidor es a menudo pasada por alto", dijeron los investigadores de Silverfort en una entrada de blog. "Tal vez porque requerirla complica los requisitos de configuración. Sin embargo, si el KDC no se autentica en el servidor, la seguridad del protocolo se ve totalmente comprometida, permitiendo a un atacante que secuestró el tráfico de la red autenticarse en PAN-OS con cualquier contraseña, incluso una incorrecta".

El spoofing del KDC de Kerberos no es en realidad un nuevo ataque y fue reportado por primera vez hace diez años por un investigador de seguridad llamado Dug Song. Esto sugiere que tanto las implementaciones de Cisco ASA y Palo Alto PAN-OS han sido vulnerables durante mucho tiempo. Los investigadores de Silverfort descubrieron el descuido mientras intentaban implementar una solución de autenticación multifactorial compatible con aparatos de seguridad de terceros.

La compañía tiene las siguientes recomendaciones para cualquier desarrollador que implemente Kerberos:

  • Validar que la implementación de Kerberos requiere una contraseña o keytab: Para validar el DC, es necesario utilizar algún tipo de secreto compartido. Si su solución no permite configurar un archivo keytab, o una contraseña de cuenta de servicio, la aplicación es seguramente susceptible de ser falsificada por el KDC.
  • Ejecute Wireshark: Use Wireshark para ver qué solicitudes de Kerberos se envían durante la autenticación. Si no hay TGS_REQ, es una bandera roja.
  • Siga el protocolo RFC: Si quiere implementar un protocolo de autenticación por sí mismo, debe seguir los protocolos RFC con diligencia. Silverfort recomienda tomar la ruta más fácil y usar una implementación existente de estos protocolos.
  • Utilice adecuadamente las bibliotecas de terceros: Algunas bibliotecas de terceros requieren una configuración específica para evitar el "spoofing" de KDC. Por ejemplo, una biblioteca común utilizada para Kerberos llamada pam-krb5, tiene que tener un keytab configurado para funcionar correctamente.