مؤخرا كشفت مجموعة من الباحثين عن ثغرة أمنية مع تصنيف شدة 9,8 من أصل 10، هذا بعد أن يمنحوا 1 سنة من السماح قبل أن يفصحوا عن هذه المعلومات.
ثبت أن ما يقرب من 10,000 خادم للشركات التي تستخدم Palo Alto Networks GlobalProtect VPN معرضة لخلل تجاوز سعة المخزن المؤقت الذي تم إصلاحه بعد 12 شهرًا فقط من اكتشافه.
الثغرة الأمنية التي تم تحديدها بواسطة CVE-2021-3064 A هي 9,8 من 10 و يحدث عندما يتم فحص الإدخال المقدم من المستخدم إلى موقع بطول ثابت على المكدس.
يوضح الدليل على مفهوم الاستغلال الذي طوره الباحثون في Randori الضرر الكبير الذي يمكن أن ينتج.
"تؤثر هذه الثغرة الأمنية على جدران الحماية الخاصة بنا باستخدام GlobalProtect VPN وتسمح بالتنفيذ عن بُعد للرمز غير المصادق على عمليات التثبيت الضعيفة للمنتج. يؤثر CVE-2021-3064 على الإصدارات المختلفة من PAN-OS 8.1 قبل 8.1.17 ووجدنا العديد من الحالات الضعيفة المكشوفة على الأصول المتصلة بالإنترنت ، أكثر من 10,000 أصل "، قال راندوري.
وقال المحقق المستقل كيفين بومونت إن تحقيق شودان الذي أجراه يشير إلى ذلك ما يقرب من نصف جميع حالات GlobalProtect التي شاهدها Shodan كانت ضعيفة.
يحدث الفائض عندما يوزع البرنامج مدخلات المستخدم في موقع بطول ثابت على المكدس.
لا أعلم أنه يمكنك الوصول إلى رمز عربات التي تجرها الدواب خارجيًا دون استخدام ما يُعرف باسم تهريب HTTP ، وهي تقنية استغلال تتداخل مع الطريقة التي يعالج بها موقع الويب تدفقات طلب HTTP.
تظهر الثغرات الأمنية عندما تفسر الواجهة الأمامية والخلفية لموقع الويب حدود طلب HTTP بشكل مختلف ويفصل الخطأ تزامنها. يسمح استغلال هذين العنصرين بتنفيذ التعليمات البرمجية عن بُعد بموجب امتيازات المكون المتأثر على جهاز جدار الحماية.
فيما يلي النتائج الرئيسية للاكتشاف والبحث:
- تتكون سلسلة الثغرات الأمنية من طريقة للتحايل على عمليات التحقق من صحة خادم الويب الخارجي (تهريب HTTP) وتجاوز سعة المخزن المؤقت المستند إلى المكدس.
- يؤثر على جدران الحماية Palo Alto التي تستخدم سلسلة PAN-OS 8.1 مع تمكين GlobalProtect (على وجه التحديد الإصدارات <8.1.17).
- تبين أن استغلال سلسلة الثغرات الأمنية يسمح بتنفيذ التعليمات البرمجية عن بُعد في منتجات جدار الحماية الفعلية والظاهرية.
الآن لا يوجد رمز استغلال متاح للجمهور.
الرقع متوفرة من البائع.
تواقيع PAN Threat Prevention متاحة أيضًا (المعرفين 91820 و 91855) لمنع استغلال هذه المشكلة.
لاستغلال هذه الثغرة الأمنية ، يجب أن يمتلك المهاجم وصول الشبكة إلى الجهاز الموجود على منفذ خدمة GlobalProtect (المنفذ 443 افتراضيًا). نظرًا لأن المنتج المتأثر هو بوابة VPN ، فغالبًا ما يمكن الوصول إلى هذا المنفذ على الإنترنت. على الأجهزة التي تم تمكين التوزيع العشوائي لمساحة العنوان (ASLR) 70 (والذي يبدو أنه هو الحال بالنسبة لمعظم الأجهزة) ، يكون التشغيل صعبًا ولكنه ممكن.
على الأجهزة الافتراضية (جدران الحماية من سلسلة VM) ، تكون العملية أسهل بكثير بسبب عدم وجود ASLR ويتوقع Randori ظهور مآثر عامة.
لم يستغل باحثو Randori تجاوز سعة المخزن المؤقت لينتج عن تنفيذ التعليمات البرمجية الخاضعة للرقابة على إصدارات معينة من أجهزة وحدة المعالجة المركزية المستندة إلى الإدارة القائمة على MIPS نظرًا لبنيتها الداخلية الكبيرة ، على الرغم من إمكانية الوصول إلى الفائض على هذه الأجهزة. ويمكن استخدامها للحد من توافر الخدمات.
راندوري توصي المنظمات المتأثرة بتطبيق الإصلاحات المقدمة من PAN. بالإضافة إلى ذلك ، أتاحت PAN التوقيعات التي يمكن تنشيطها لإحباط الاستغلال بينما تخطط المؤسسات لتحديث البرامج.
بالنسبة للمؤسسات التي لا تستخدم ميزة VPN كجزء من جدار الحماية ، نوصي بتعطيل GlobalProtect.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.