客户端探测Palo Alto防火墙的危险性区块链

曲速未来安全区 2018-09-01 21:09
分享到:
导读

在执行例行内部渗透测试时,通过了在分析模式下运行Responder来开始评估,以便了解通过广播发送的内容。令人惊讶的是,发现在运行它之后不久,Responder的SMB监听器捕获了一个哈希。

在执行例行内部渗透测试时,通过了在分析模式下运行Responder来开始评估,以便了解通过广播发送的内容。令人惊讶的是,发现在运行它之后不久,Responder的SMB监听器捕获了一个哈希。 

这个哈希属于一个名为“panagent”的帐户,然后被认为它是指PAN(PaloAltoNetworks)代理。把哈希扔进了Hashcat,不久之后就恢复了明文密码。使用CrackMapExec,将这些凭据映射到本地网络中的内部系统,并发现它们在环境中的多个主机上具有管理员访问权限。

在获得这些系统上的管理员访问权限后,然后执行了所谓的“凭据随机播放”,直到被破坏了“Domain Admins”组中帐户的凭据。所以发生了什么事?

便开始研究这个问题,只能找到的最早的文章是Rapid7的一篇文章:R7-2014-16:Palo Alto Networks用户ID凭证曝光。根本原因似乎是Palo Alto用于映射特定用户的网络流量的称为“用户ID”的功能。这一发现之后,它促使帕洛阿尔托发布咨询的错误配置的用户ID的安全影响。 

为了了解User-ID的功能,便设置了一个Palo Alto防火墙,以了解如何配置它,并阅读Palo Alto提供的有关如何设置User-ID的文档。

在设置用户ID之前,首先需要做的事情之一是建立区域。文档警告读取器只能在受信任区域上启用用户ID。它还通知你,通过用户ID进行探测可能会显示服务帐户名、域名和加密密码哈希。

若要使用此功能,还必须使用它配置用户/服务帐户。PaloAlto文档建议你使用所需的最低权限;但是,什么是最低要求还不太清楚。可以假设不需要本地管理员权限。

当设置User-ID时,你必须指定User-ID应该与之通信的网络范围,否则它将默认为所有服务器。

要定义此区域,你可以通过转到“网络”选项卡,单击“区域”,修改“包含”列表和“排除”列表以及选中“启用用户标识”框来设置区域。

最后一步是迄今为止最危险的一步,Palo Alto现在建议你不要启用它。虽然文档中的警告建议你不要在“高安全性网络”上启用它,但这可以更好地解释为一种警告,即不要在安全有任何问题的网络上启用它。

使用WMI和/或NetBIOS执行客户端探测。NetBIOS是一种多播名称解析协议,在任何网络上都特别危险,并且始终建议在企业范围内禁用它。阅读Palo Alto关于客户探测的文档时,风险变得更加明显。

这意味着,对于防火墙识别的网络上的任何未知系统,它将立即尝试连接到设备,然后默认每20分钟重复一次。如果你的网络中存在恶意攻击系统,此功能将每隔20分钟将域名,用户名和加密密码哈希发送到该恶意设备。这是非常不受欢迎的。要禁用此功能或确保未启用此功能,请导航到“设备”选项卡,然后单击“用户标识”。从那里单击齿轮图标,导航到客户端探测选项卡,然后取消选中“启用探测”。

区块链安全公司WF曲速未来表示:希望这有助于那些使用Palo Alto防火墙的用户更好地了解与User-ID相关的风险以及其中特别危险的Client Probing选项。

网络 用户 启用 Palo Alto
分享到:

1.TMT观察网遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.TMT观察网的原创文章,请转载时务必注明文章作者和"来源:TMT观察网",不尊重原创的行为TMT观察网或将追究责任;
3.作者投稿可能会经TMT观察网编辑修改或补充。