हाल ही में शोधकर्ताओं के एक समूह ने एक भेद्यता का खुलासा किया एक साथ 9,8 में से 10 की गंभीरता रेटिंग, इसके बाद वे इस तरह की जानकारी का खुलासा करने से पहले 1 वर्ष की छूट देंगे।
पालो ऑल्टो नेटवर्क्स ग्लोबलप्रोटेक्ट वीपीएन का उपयोग करने वाले लगभग 10,000 कॉर्पोरेट सर्वरों को बफर ओवरफ्लो बग के प्रति संवेदनशील दिखाया गया है जिसे खोज के 12 महीने बाद ही ठीक किया गया था।
CVE-2021-3064 A द्वारा पहचानी गई भेद्यता 9,8 में से 10 है और तब होता है जब उपयोगकर्ता द्वारा आपूर्ति किए गए इनपुट को स्टैक पर एक निश्चित-लंबाई वाले स्थान पर स्कैन किया जाता है।
रंदोरी के शोधकर्ताओं द्वारा विकसित शोषण की अवधारणा का प्रमाण काफी नुकसान को दर्शाता है जिसके परिणामस्वरूप हो सकता है।
"यह भेद्यता GlobalProtect VPN का उपयोग करके हमारे फ़ायरवॉल को प्रभावित करती है और उत्पाद की कमजोर स्थापनाओं पर अनधिकृत कोड के दूरस्थ निष्पादन की अनुमति देती है। सीवीई-2021-3064 8.1 से पहले पैन-ओएस 8.1.17 के विभिन्न संस्करणों को प्रभावित करता है और हमने इंटरनेट से जुड़ी संपत्तियों, 10,000 से अधिक संपत्तियों पर कई कमजोर उदाहरणों को उजागर किया है, "रंडोरी ने कहा.
स्वतंत्र अन्वेषक केविन ब्यूमोंट ने कहा कि उन्होंने जो शोडान जांच की वह इंगित करती है कि Shodan द्वारा देखे गए सभी GlobalProtect उदाहरणों में से लगभग आधे असुरक्षित थे।
ओवरफ्लो तब होता है जब सॉफ़्टवेयर स्टैक पर एक निश्चित-लंबाई वाले स्थान पर उपयोगकर्ता इनपुट को पार्स करता है।
मुझे नहीं पता कि आप HTTP तस्करी के रूप में जाने जाने वाले उपयोग के बिना बाहरी रूप से बग्गी कोड तक पहुंच सकते हैं, एक शोषण तकनीक जो वेबसाइट HTTP अनुरोध स्ट्रीम को संसाधित करने के तरीके में हस्तक्षेप करती है।
भेद्यता तब दिखाई देती है जब किसी वेबसाइट का फ्रंट-एंड और बैक-एंड HTTP अनुरोध की सीमाओं की व्याख्या करता है अलग ढंग से और त्रुटि उन्हें डीसिंक्रोनाइज़ करती है। इन दो तत्वों का शोषण फ़ायरवॉल डिवाइस पर प्रभावित घटक के विशेषाधिकारों के तहत रिमोट कोड निष्पादन की अनुमति देता है।
खोज और शोध के मुख्य निष्कर्ष नीचे दिए गए हैं:
- भेद्यता श्रृंखला में बाहरी वेब सर्वर सत्यापन (HTTP तस्करी) और स्टैक-आधारित बफर ओवरफ़्लो को दरकिनार करने की एक विधि शामिल है।
- ग्लोबलप्रोटेक्ट सक्षम के साथ पैन-ओएस 8.1 श्रृंखला का उपयोग करके पालो ऑल्टो फायरवॉल को प्रभावित करता है (विशेष रूप से संस्करण <8.1.17)।
- भौतिक और आभासी फ़ायरवॉल उत्पादों में रिमोट कोड निष्पादन की अनुमति देने के लिए कमजोरियों की श्रृंखला का शोषण दिखाया गया है।
अब कोई सार्वजनिक रूप से उपलब्ध शोषण कोड नहीं है.
विक्रेता से पैच उपलब्ध हैं।
पैन थ्रेट प्रिवेंशन सिग्नेचर भी उपलब्ध हैं (आईडी 91820 और 91855) इस मुद्दे के शोषण को रोकने के लिए।
इस भेद्यता का फायदा उठाने के लिए, एक हमलावर के पास GlobalProtect सर्विस पोर्ट पर डिवाइस तक नेटवर्क एक्सेस होना चाहिए (पोर्ट 443 डिफ़ॉल्ट रूप से)। चूंकि प्रभावित उत्पाद एक वीपीएन पोर्टल है, इसलिए इस पोर्ट को अक्सर इंटरनेट पर एक्सेस किया जा सकता है। पता स्थान रैंडमाइजेशन (एएसएलआर) 70 सक्षम (जो अधिकांश उपकरणों के लिए मामला प्रतीत होता है) वाले उपकरणों पर, ऑपरेशन मुश्किल है लेकिन संभव है।
वर्चुअलाइज्ड डिवाइस (वीएम सीरीज फायरवॉल) पर, एएसएलआर की कमी के कारण ऑपरेशन काफी आसान है और रैंडोरी को उम्मीद है कि सार्वजनिक कारनामे सामने आएंगे।
रैंडोरी शोधकर्ताओं ने अपने बड़े एंडियन आर्किटेक्चर के कारण एमआईपीएस-आधारित प्रबंधन विमान सीपीयू हार्डवेयर उपकरणों के कुछ संस्करणों पर नियंत्रित कोड निष्पादन के परिणामस्वरूप बफर ओवरफ्लो का फायदा नहीं उठाया, हालांकि इन उपकरणों पर ओवरफ्लो पहुंच योग्य है। और इसका उपयोग सीमित करने के लिए किया जा सकता है सेवाओं की उपलब्धता।
रंदोरी प्रभावित संगठनों को पैन द्वारा प्रदान किए गए सुधारों को लागू करने की सिफारिश करता है. इसके अतिरिक्त, पैन ने उपलब्ध हस्ताक्षर उपलब्ध कराए हैं जिन्हें शोषण को रोकने के लिए सक्रिय किया जा सकता है जबकि संगठन सॉफ्टवेयर को अपडेट करने की योजना बना रहे हैं।
उन संगठनों के लिए जो फ़ायरवॉल के हिस्से के रूप में वीपीएन सुविधा का उपयोग नहीं करते हैं, हम ग्लोबलप्रोटेक्ट को अक्षम करने की सलाह देते हैं।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण में देख सकते हैं निम्नलिखित लिंक.