recentemente un gruppo di ricercatori ha rivelato una vulnerabilità con uno grado di gravità di 9,8 su 10, questo dopo aver concesso 1 anno di grazia prima di divulgare tali informazioni.
È stato dimostrato che circa 10,000 server aziendali che utilizzano Palo Alto Networks GlobalProtect VPN sono vulnerabili a un bug di overflow del buffer che è stato corretto solo 12 mesi dopo la scoperta.
La vulnerabilità identificata da CVE-2021-3064 A è 9,8 su 10 e Si verifica quando l'input fornito dall'utente viene scansionato in una posizione a lunghezza fissa nello stack.
Un proof of concept dell'exploit sviluppato dai ricercatori di Randori dimostra i notevoli danni che ne possono derivare.
"Questa vulnerabilità interessa i nostri firewall che utilizzano GlobalProtect VPN e consente l'esecuzione remota di codice non autenticato su installazioni vulnerabili del prodotto. CVE-2021-3064 interessa varie versioni di PAN-OS 8.1 precedenti alla 8.1.17 e abbiamo trovato molte istanze vulnerabili esposte su risorse connesse a Internet, più di 10,000 risorse ", ha affermato Randori.
L'investigatore indipendente Kevin Beaumont ha affermato che l'indagine Shodan che ha condotto indica che circa la metà di tutte le istanze GlobalProtect viste da Shodan erano vulnerabili.
L'overflow si verifica quando il software analizza l'input dell'utente in una posizione a lunghezza fissa nello stack.
Non so che tu possa accedere al codice difettoso esternamente senza utilizzare il cosiddetto contrabbando HTTP, una tecnica di exploit che interferisce con il modo in cui un sito Web elabora i flussi di richieste HTTP.
Le vulnerabilità si manifestano quando il front-end e il back-end di un sito Web interpretano i limiti di una richiesta HTTP in modo diverso e l'errore li desincronizza. Lo sfruttamento di questi due elementi consente l'esecuzione di codice remoto con i privilegi del componente interessato sul dispositivo firewall.
Di seguito sono riportati i principali risultati della scoperta e della ricerca:
- La catena di vulnerabilità consiste in un metodo per aggirare le convalide di server Web esterni (contrabbando HTTP) e l'overflow del buffer basato su stack.
- Interessa i firewall Palo Alto che utilizzano la serie PAN-OS 8.1 con GlobalProtect abilitato (in particolare le versioni <8.1.17).
- È stato dimostrato che lo sfruttamento della catena di vulnerabilità consente l'esecuzione di codice in modalità remota nei prodotti firewall fisici e virtuali.
Ora non esiste un codice exploit disponibile pubblicamente.
Le patch sono disponibili presso il venditore.
Sono disponibili anche le firme PAN Threat Prevention (ID 91820 e 91855) per bloccare lo sfruttamento di questo problema.
Per sfruttare questa vulnerabilità, un utente malintenzionato deve avere accesso di rete al dispositivo sulla porta di servizio GlobalProtect (porta 443 per impostazione predefinita). Poiché il prodotto interessato è un portale VPN, questa porta è spesso accessibile su Internet. Sui dispositivi con la randomizzazione dello spazio degli indirizzi (ASLR) 70 abilitata (come sembra essere il caso per la maggior parte dei dispositivi), l'operazione è difficile ma possibile.
Sui dispositivi virtualizzati (firewall serie VM), l'operazione è notevolmente più semplice a causa della mancanza di ASLR e Randori prevede che emergano exploit pubblici.
I ricercatori Randori non hanno sfruttato l'overflow del buffer per ottenere un'esecuzione controllata del codice su alcune versioni di dispositivi hardware CPU del piano di gestione basati su MIPS a causa della loro architettura big endian, sebbene l'overflow sia accessibile su questi dispositivi e possa essere utilizzato per limitare il disponibilità di servizi.
randori raccomanda alle organizzazioni interessate di applicare le correzioni fornite da PAN. Inoltre, PAN ha reso disponibili firme che possono essere attivate per contrastare lo sfruttamento mentre le organizzazioni pianificano di aggiornare il software.
Per le organizzazioni che non utilizzano la funzionalità VPN come parte del firewall, consigliamo di disabilitare GlobalProtect.
Infine, se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link.