近日，Palo Alto发布了 Cortex XSOAR REST API 未授权使用的风险通告，未认证的攻击者能够通过网络访问 Cortex XSOAR 服务器并通过 REST API 执行未经授权的操作。

漏洞描述

Cortex XSOAR是Palo Alto公司的SOAR（安全编排自动化与相应）产品，其主要作用是跨源提取报警信息并执行自动化的工作流以加快事件响应速度，在世界范围内有大量客户。

CVE-2021-3044

未认证的攻击者可以通过该漏洞访问Cortex XSOAR提供的api，并创建或启动对应的自动化流程以达到敏感数据访问，执行命令等相关操作。（此问题仅适用于具有活动 API 密钥集成的 Cortex XSOAR 配置）

该漏洞CVSS评分：9.8，危害等级：严重

CVE 编号

CVE-2021-3044

FOFA 查询

app="Cortex-XSOAR"

影响范围

影响版本：

Cortex XSOAR 6.1.0（>= 1016923 and < 1271064）
Cortex XSOAR 6.2.0（< 1271065）
（可以通过从 Cortex XSOAR Web 客户端选择“设置 > 集成 > API 密钥”来确定配置是否受到影响。）

安全版本：Cortex XSOAR 6.1.0 build 1271064、Cortex XSOAR 6.2.0 build 1271065 和所有更高版本的 Cortex XSOAR。

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Cortex-XSOAR"）共有 3,740 个相关服务对外开放。美国使用数量最多，共有 2,599 个；德国第二，共有 420 个；瑞典第三，共有 234 个；爱尔兰第四，共有 130 个；英国第五，共有 102 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

修复建议

升级至对应的安全版本：Cortex XSOAR 6.1.0 build 1271064、Cortex XSOAR 6.2.0 build 1271065 和所有更高版本的 Cortex XSOAR。

临时修复方案：

1. 从 Cortex XSOAR Web 客户端找到集成 API 密钥：设置 > 集成 > API 密钥，然后撤销每个 API 密钥。将 Cortex XSOAR 升级到固定版本后创建新的 API 密钥。

2. 利用请求白名单的方式限制Cortex XSOAR的请求对象。

参考

[1] https://security.paloaltonetworks.com/CVE-2021-3044

[2] https://mp.weixin.qq.com/s/LkfZenswD8bN0e-FzTbGzQ

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。