Van detectar una vulnerabilitat que afecta més de 10,000 servidors vpn  

fa poc un grup dinvestigadors van donar a conèixer una vulnerabilitat amb una classificació de gravetat de 9,8 sobre 10, això després que donessin 1 any de gràcia abans que divulgaran aquesta informació.

S'esmenta que aproximadament 10,000 servidors corporatius que utilitzen la VPN afectada.

S'ha demostrat que aproximadament 10,000 servidors corporatius que utilitzen Palo Alto Networks GlobalProtect VPN són vulnerables a un error de desbordament de memòria intermèdia que es va solucionar només 12 mesos després del descobriment.

La vulnerabilitat identificada per CVE-2021-3064 A és de 9,8 sobre 10 i es produeix quan s'escaneja l'entrada proporcionada per l'usuari en una ubicació de longitud fixa a la pila.

Una prova de concepte de l'exploit desenvolupada per investigadors de Randori demostra el mal considerable que pot resultar.

"Aquesta vulnerabilitat afecta els nostres tallafocs que utilitzen GlobalProtect VPN i permet l'execució remota de codi no autenticat en instal·lacions vulnerables del producte. CVE-2021-3064 afecta diverses versions de PAN-OS 8.1 abans de la 8.1.17 i trobem moltes instàncies vulnerables exposades en actius connectats a Internet, més de 10,000 actius”, va dir Randori.

L'investigador independent Kevin Beaumont va dir que la investigació de Shodan que va realitzar indica que aproximadament la meitat de totes les instàncies de GlobalProtect vistes per Shodan eren vulnerables.

El desbordament passa quan el programari analitza les dades proporcionades per l'usuari en una ubicació de longitud fixa a la pila.

No sé pot accedir al codi amb errors de forma externa sense utilitzar el que es coneix com a contraban HTTP, una tècnica dexplotació que interfereix amb la manera com un lloc web processa les seqüències de sol·licituds HTTP.

Les vulnerabilitats apareixen quan el frontend i el backend d'un lloc web interpreten els límits d'una sol·licitud HTTP diferent i l'error els desincronitza. L'explotació d'aquests dos elements permet l'execució remota de codi sota els privilegis del component afectat al dispositiu de firewall.

A continuació es presenten les principals conclusions del descobriment i la investigació:

  • La cadena de vulnerabilitats consisteix en un mètode per eludir les validacions realitzades per un servidor web extern (contrabant HTTP) i el desbordament del memòria intermèdia basat en la pila.
  • Afecta els tallafocs de Palo Alto que utilitzen la sèrie PAN-OS 8.1 amb GlobalProtect habilitat (específicament versions <8.1.17).
  • S'ha demostrat que l'explotació de la cadena de vulnerabilitats permet l'execució remota de codi a productes de firewall físics i virtuals.

Actualment no hi ha un codi d'explotació disponible públicament.

Els pegats estan disponibles a través del proveïdor.

Les firmes de PAN Threat Prevention també estan disponibles (ID 91820 i 91855) per bloquejar lexplotació daquest problema.

Per aprofitar aquesta vulnerabilitat, un atacant ha de tenir accés de xarxa al dispositiu al port de servei GlobalProtect (port 443 per defecte). Com que el producte afectat és un portal VPN, sovint es pot accedir a aquest port a Internet. En dispositius amb distribució aleatòria de l'espai d'adreces (ASLR) 70 habilitada (que sembla que és el cas a la majoria dels dispositius), l'operació és difícil però possible.

En dispositius virtualitzats (firewalls de la sèrie VM), l'operació és significativament més fàcil a causa de la manca d'ASLR i Randori espera que sorgeixin exploits públics.

Els investigadors de Randori no van explotar el desbordament del memòria intermèdia per donar com a resultat l'execució de codi controlat en certes versions de dispositius de maquinari amb CPU de pla d'administració basades en MIPS a causa de la seva arquitectura big endian, encara que el desbordament és accessible en aquests dispositius i es pot utilitzar per limitar la disponibilitat de serveis.

Randori recomana que les organitzacions afectades apliquin les correccions proporcionades per PAN. A més, PAN ha posat a disposició firmes que es poden activar per frustrar l‟explotació mentre les organitzacions planegen actualitzar el programari.

Per a les organitzacions que no usen la funció VPN com a part del firewall, recomanem deshabilitar GlobalProtect.

Finalment si estàs interessat a conèixer més sobre això pots consultar els detalls al següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.