onlangs een groep onderzoekers heeft een kwetsbaarheid onthuld met een ernstclassificatie van 9,8 uit 10, dit nadat ze 1 jaar respijt hebben gegeven voordat ze deze informatie bekendmaken.
Van ongeveer 10,000 bedrijfsservers die Palo Alto Networks GlobalProtect VPN gebruiken, is aangetoond dat ze kwetsbaar zijn voor een bufferoverloopbug die slechts 12 maanden na ontdekking werd verholpen.
De kwetsbaarheid geïdentificeerd door CVE-2021-3064 A is 9,8 uit 10 en Doet zich voor wanneer door de gebruiker geleverde invoer wordt gescand op een locatie met een vaste lengte op de stapel.
Een proof of concept van de exploit, ontwikkeld door Randori-onderzoekers, toont de aanzienlijke schade die kan ontstaan.
"Deze kwetsbaarheid heeft invloed op onze firewalls die GlobalProtect VPN gebruiken en maakt uitvoering op afstand mogelijk van niet-geverifieerde code op kwetsbare installaties van het product. CVE-2021-3064 is van invloed op verschillende versies van PAN-OS 8.1 voorafgaand aan 8.1.17 en we hebben veel kwetsbare instanties gevonden die zijn blootgesteld aan activa die zijn verbonden met internet, meer dan 10,000 activa, "zei Randori.
Onafhankelijk onderzoeker Kevin Beaumont zei dat het Shodan-onderzoek dat hij uitvoerde daarop wijst ongeveer de helft van alle GlobalProtect-instanties die Shodan zag, was kwetsbaar.
Overflow treedt op wanneer software door de gebruiker aangeleverde gegevens parseert op een locatie met een vaste lengte op de stapel.
Je hebt geen externe toegang tot de bugcode zonder gebruik te maken van wat bekend staat als HTTP-smokkel, een exploitatietechniek die interfereert met de manier waarop een website HTTP-verzoekstromen verwerkt.
Kwetsbaarheden verschijnen wanneer de front-end en back-end van een website de grenzen van een HTTP-verzoek interpreteren anders en de fout gooit ze niet synchroon. Exploitatie van deze twee elementen maakt uitvoering van externe code mogelijk onder de rechten van het getroffen onderdeel op het firewallapparaat.
Hieronder staan de belangrijkste afhaalrestaurants van de ontdekking en het onderzoek:
- De kwetsbaarheidsketen bestaat uit een methode om validaties van een externe webserver te omzeilen (HTTP-smokkel) en stackgebaseerde bufferoverflow.
- Beïnvloedt Palo Alto-firewalls die gebruikmaken van de PAN-OS 8.1-serie met GlobalProtect ingeschakeld (met name versies < 8.1.17).
- Het is aangetoond dat misbruik van de kwetsbaarheidsketen het uitvoeren van externe code in fysieke en virtuele firewallproducten mogelijk maakt.
Op dit moment er is geen openbaar beschikbare exploitcode.
Patches zijn verkrijgbaar bij de leverancier.
PAN Threat Prevention-handtekeningen zijn ook beschikbaar (ID 91820 en 91855) om misbruik van dit probleem te blokkeren.
Om misbruik te maken van deze kwetsbaarheid, een aanvaller moet netwerktoegang hebben tot het apparaat op de GlobalProtect-servicepoort (standaard poort 443). Aangezien het getroffen product een VPN-portaal is, is deze poort vaak via internet toegankelijk. Op apparaten met Address Space Randomization (ASLR) 70 ingeschakeld (wat op de meeste apparaten het geval lijkt te zijn), is de bediening moeilijk maar mogelijk.
Op gevirtualiseerde apparaten (firewalls uit de VM-serie) is de bediening aanzienlijk eenvoudiger vanwege het ontbreken van ASLR, en Randori verwacht dat er openbare exploits zullen ontstaan.
De Randori-onderzoekers maakten geen gebruik van de bufferoverloop om te resulteren in gecontroleerde uitvoering van code op bepaalde versies van hardwareapparaten met MIPS-gebaseerde beheervlak-CPU's vanwege hun big-endian-architectuur, hoewel de overloop toegankelijk is op deze apparaten en kan worden gebruikt om de beschikbaarheid van services te beperken.
randori beveelt getroffen organisaties aan de fixes van PAN . toe te passen. Daarnaast heeft PAN handtekeningen beschikbaar gesteld die kunnen worden geactiveerd om uitbuiting te voorkomen wanneer organisaties van plan zijn software bij te werken.
Voor organisaties die de VPN-functie niet als onderdeel van de firewall gebruiken, raden we aan om GlobalProtect uit te schakelen.
Tot slot, als u er meer over wilt weten, kunt u de details raadplegen in de volgende koppeling.