Hiljuti teadlaste rühm avalikustas haavatavuse ühe raskusaste 9,8 10-st, seda pärast seda, kui nad annavad 1 aasta ajapikendust, enne kui nad sellise teabe avaldavad.
Umbes 10,000 12 Palo Alto Networksi GlobalProtect VPN-i kasutavat ettevõtte serverit on puhvri ületäitumise vea suhtes haavatavad, mis parandati alles XNUMX kuud pärast avastamist.
CVE-2021-3064 A tuvastatud haavatavus on 9,8 10-st ja Esineb siis, kui kasutaja sisestatud sisend skannitakse virna kindla pikkusega kohta.
Randori teadlaste poolt välja töötatud ärakasutamise kontseptsiooni tõend näitab märkimisväärset kahju, mis võib tekkida.
"See haavatavus mõjutab meie tulemüüre, mis kasutavad GlobalProtect VPN-i ja võimaldab kaugkäivitada autentimata koodi toote haavatavates installides. CVE-2021-3064 mõjutab PAN-OS 8.1 erinevaid versioone enne versiooni 8.1.17 ja leidsime Internetiga ühendatud varadelt palju haavatavaid juhtumeid, üle 10,000 XNUMX vara, ”ütles Randori.
Sõltumatu uurija Kevin Beaumont ütles, et tema läbiviidud Shodani uurimine viitab sellele ligikaudu pooled kõigist Shodani nähtud GlobalProtecti eksemplaridest olid haavatavad.
Ületäitumine toimub siis, kui tarkvara parsib kasutaja sisendit pinu fikseeritud pikkusega kohas.
Ma ei tea, kas pääsete vigasele koodile juurde väliselt, ilma nn HTTP salakaubavedu kasutamata. See on ärakasutamistehnika, mis häirib seda, kuidas veebisait HTTP-päringu vooge töötleb.
Haavatavus ilmneb siis, kui veebisaidi esi- ja tagaosa tõlgendavad HTTP-päringu piire erinevalt ja viga desünkroniseerib need. Nende kahe elemendi kasutamine võimaldab koodi kaugkäivitamist tulemüüriseadme mõjutatud komponendi õiguste alusel.
Allpool on toodud avastuse ja uurimistöö peamised tulemused:
- Haavatavuse ahel koosneb meetodist välise veebiserveri valideerimisest (HTTP salakaubavedu) ja virnapõhisest puhvri ületäitmisest kõrvalehoidmiseks.
- Mõjutab Palo Alto tulemüüre, mis kasutavad PAN-OS 8.1 seeriat ja GlobalProtect on lubatud (täpsemalt versioonid <8.1.17).
- On näidatud, et haavatavuste ahela ärakasutamine võimaldab füüsilistes ja virtuaalsetes tulemüüritoodetes koodi kaugkäivitamist.
Nüüd avalikult saadaolevat kasutuskoodi pole.
Plaastrid on saadaval müüjalt.
Saadaval on ka PAN Threat Prevention allkirjad (ID 91820 ja 91855), et blokeerida selle probleemi kasutamine.
Selle haavatavuse ärakasutamiseks ründajal peab olema võrgujuurdepääs seadmele GlobalProtecti teeninduspordis (vaikimisi port 443). Kuna mõjutatud toode on VPN-portaal, on see port sageli Internetis juurdepääsetav. Seadmetes, millel on lubatud aadressiruumi randomiseerimine (ASLR) 70 (mis näib olevat enamiku seadmete puhul), on kasutamine keeruline, kuid võimalik.
Virtualiseeritud seadmetes (VM-seeria tulemüürid) on operatsioon ASLR-i puudumise tõttu oluliselt lihtsam ja Randori eeldab avalike ärakasutamiste tekkimist.
Randori teadlased ei kasutanud puhvri ületäitumist, et anda tulemuseks kontrollitud koodi täitmine MIPS-põhise haldustasandi CPU riistvaraseadmete teatud versioonides nende suure arhitektuuri tõttu, kuigi ületäitumine on nendes seadmetes juurdepääsetav ja seda saab kasutada teenuste kättesaadavus.
randori soovitab mõjutatud organisatsioonidel rakendada PAN-i pakutavaid parandusi. Lisaks on PAN teinud kättesaadavaks allkirjad, mida saab aktiveerida, et takistada ärakasutamist ajal, mil organisatsioonid plaanivad tarkvara värskendada.
Organisatsioonidel, mis ei kasuta VPN-funktsiooni tulemüüri osana, soovitame GlobalProtecti keelata.
Lõpuks, kui soovite selle kohta rohkem teada saada, vaadake üksikasju jaotisest järgmine link.