最近 研究者のグループが脆弱性を開示しました と 9,8点満点中10の重大度評価、これは、彼らがそのような情報を開示する前に、彼らが1年間の猶予を与えた後です。
Palo Alto Networks GlobalProtect VPNを使用している約10,000の企業サーバーは、検出後わずか12か月で修正されたバッファオーバーフローのバグに対して脆弱であることが示されています。
CVE-2021-3064 Aで特定された脆弱性は、9,8のうち10であり、 ユーザーが入力した入力がスタック上の固定長の場所にスキャンされたときに発生します。
乱取りの研究者によって開発されたエクスプロイトの概念実証は、結果として生じる可能性のあるかなりの損害を示しています。
「この脆弱性は、GlobalProtect VPNを使用するファイアウォールに影響を及ぼし、製品の脆弱なインストールで認証されていないコードをリモートで実行できるようにします。 CVE-2021-3064は、8.1より前のPAN-OS 8.1.17のさまざまなバージョンに影響を及ぼし、インターネットに接続された資産、10,000を超える資産に公開された、多くの脆弱なインスタンスを発見しました」とRandori氏は述べています。.
私立探偵のケビン・ボーモントは、彼が行った正段の調査は次のことを示していると述べた Shodanが見たすべてのGlobalProtectインスタンスの約半分が脆弱でした。
オーバーフローは、ソフトウェアがスタック上の固定長の場所でユーザー入力を解析するときに発生します。
WebサイトがHTTPリクエストストリームを処理する方法を妨害するエクスプロイト手法であるHTTP密輸と呼ばれるものを使用せずに、バグのあるコードに外部からアクセスできるかどうかはわかりません。
脆弱性は、WebサイトのフロントエンドとバックエンドがHTTPリクエストの制限を解釈するときに発生します 別の方法で、エラーはそれらを非同期化します。 これらのXNUMXつの要素を悪用すると、ファイアウォールデバイス上の影響を受けるコンポーネントの権限でリモートでコードが実行される可能性があります。
以下は、発見と調査の主な調査結果です。
- 脆弱性チェーンは、外部Webサーバーの検証(HTTPスマグリング)とスタックベースのバッファオーバーフローを回避する方法で構成されています。
- GlobalProtectが有効になっているPAN-OS8.1シリーズ(具体的にはバージョン<8.1.17)を使用しているPaloAltoファイアウォールに影響します。
- 一連の脆弱性を悪用すると、物理ファイアウォール製品と仮想ファイアウォール製品でリモートでコードが実行される可能性が示されています。
今 公開されているエクスプロイトコードはありません.
パッチはベンダーから入手できます。
PAN脅威防止シグニチャも利用可能です (ID 91820および91855)この問題の悪用をブロックします。
この脆弱性を悪用するには、 攻撃者は、GlobalProtectサービスポート(デフォルトではポート443)。 影響を受ける製品はVPNポータルであるため、このポートはインターネット上でアクセスできることがよくあります。 アドレス空間配置のランダム化(ASLR)70が有効になっているデバイス(ほとんどのデバイスに当てはまるようです)では、操作は困難ですが可能です。
仮想化デバイス(VMシリーズファイアウォール)では、ASLRがないため操作が大幅に簡単になり、Randoriはパブリックエクスプロイトが出現すると予想しています。
Randoriの研究者は、バッファオーバーフローを利用して、ビッグエンディアンアーキテクチャのために特定のバージョンのMIPSベースの管理プレーンCPUハードウェアデバイスでコード実行を制御しませんでしたが、これらのデバイスではオーバーフローにアクセスでき、サービスの可用性。
乱取 影響を受ける組織がPANによって提供される修正を適用することを推奨します。 さらに、PANは、組織がソフトウェアの更新を計画しているときに悪用を阻止するためにアクティブ化できる署名を利用できるようにしました。
ファイアウォールの一部としてVPN機能を使用しない組織の場合は、GlobalProtectを無効にすることをお勧めします。
最後に、それについてもっと知りたい場合は、の詳細を参照してください。 次のリンク.