客戶端探測Palo Alto防火墻的危險性區塊鏈
在執行例行內部滲透測試時,通過了在分析模式下運行Responder來開始評估,以便了解通過廣播發送的內容。令人驚訝的是,發現在運行它之后不久,Responder的SMB監聽器捕獲了一個哈希。
在執行例行內部滲透測試時,通過了在分析模式下運行Responder來開始評估,以便了解通過廣播發送的內容。令人驚訝的是,發現在運行它之后不久,Responder的SMB監聽器捕獲了一個哈希。
這個哈希屬于一個名為“panagent”的帳戶,然后被認為它是指PAN(PaloAltoNetworks)代理。把哈希扔進了Hashcat,不久之后就恢復了明文密碼。使用CrackMapExec,將這些憑據映射到本地網絡中的內部系統,并發現它們在環境中的多個主機上具有管理員訪問權限。
在獲得這些系統上的管理員訪問權限后,然后執行了所謂的“憑據隨機播放”,直到被破壞了“Domain Admins”組中帳戶的憑據。所以發生了什么事?
便開始研究這個問題,只能找到的最早的文章是Rapid7的一篇文章:R7-2014-16:Palo Alto Networks用戶ID憑證曝光。根本原因似乎是Palo Alto用于映射特定用戶的網絡流量的稱為“用戶ID”的功能。這一發現之后,它促使帕洛阿爾托發布咨詢的錯誤配置的用戶ID的安全影響。
為了了解User-ID的功能,便設置了一個Palo Alto防火墻,以了解如何配置它,并閱讀Palo Alto提供的有關如何設置User-ID的文檔。
在設置用戶ID之前,首先需要做的事情之一是建立區域。文檔警告讀取器只能在受信任區域上啟用用戶ID。它還通知你,通過用戶ID進行探測可能會顯示服務帳戶名、域名和加密密碼哈希。
若要使用此功能,還必須使用它配置用戶/服務帳戶。PaloAlto文檔建議你使用所需的最低權限;但是,什么是最低要求還不太清楚。可以假設不需要本地管理員權限。
當設置User-ID時,你必須指定User-ID應該與之通信的網絡范圍,否則它將默認為所有服務器。
要定義此區域,你可以通過轉到“網絡”選項卡,單擊“區域”,修改“包含”列表和“排除”列表以及選中“啟用用戶標識”框來設置區域。
最后一步是迄今為止最危險的一步,Palo Alto現在建議你不要啟用它。雖然文檔中的警告建議你不要在“高安全性網絡”上啟用它,但這可以更好地解釋為一種警告,即不要在安全有任何問題的網絡上啟用它。
使用WMI和/或NetBIOS執行客戶端探測。NetBIOS是一種多播名稱解析協議,在任何網絡上都特別危險,并且始終建議在企業范圍內禁用它。閱讀Palo Alto關于客戶探測的文檔時,風險變得更加明顯。
這意味著,對于防火墻識別的網絡上的任何未知系統,它將立即嘗試連接到設備,然后默認每20分鐘重復一次。如果你的網絡中存在惡意攻擊系統,此功能將每隔20分鐘將域名,用戶名和加密密碼哈希發送到該惡意設備。這是非常不受歡迎的。要禁用此功能或確保未啟用此功能,請導航到“設備”選項卡,然后單擊“用戶標識”。從那里單擊齒輪圖標,導航到客戶端探測選項卡,然后取消選中“啟用探測”。
區塊鏈安全公司WF曲速未來表示:希望這有助于那些使用Palo Alto防火墻的用戶更好地了解與User-ID相關的風險以及其中特別危險的Client Probing選項。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
