recent un grup de cercetători a dezvăluit o vulnerabilitate cu un singur rating de severitate de 9,8 din 10, asta după ce acordă 1 an de grație înainte de a dezvălui astfel de informații.
Aproximativ 10,000 de servere corporative care utilizează VPN Palo Alto Networks GlobalProtect s-au dovedit a fi vulnerabile la o eroare de depășire a memoriei tampon care a fost remediată la numai 12 luni de la descoperire.
Vulnerabilitatea identificată de CVE-2021-3064 A este 9,8 din 10 și Apare atunci când intrarea furnizată de utilizator este scanată într-o locație cu lungime fixă din stivă.
O dovadă a conceptului de exploatare dezvoltată de cercetătorii de la Randori demonstrează pagubele considerabile care pot rezulta.
Această vulnerabilitate afectează firewall-urile noastre folosind GlobalProtect VPN și permite executarea de la distanță a codului neautentificat pe instalațiile vulnerabile ale produsului. CVE-2021-3064 afectează diverse versiuni de PAN-OS 8.1 anterioare 8.1.17 și am găsit multe instanțe vulnerabile expuse pe active conectate la Internet, peste 10,000 de active”, a spus Randori..
Anchetatorul independent Kevin Beaumont a spus că ancheta lui Shodan pe care a efectuat-o indică acest lucru aproximativ jumătate din toate instanțele GlobalProtect văzute de Shodan au fost vulnerabile.
Overflow apare atunci când software-ul analizează intrarea utilizatorului într-o locație cu lungime fixă din stivă.
Nu știu că puteți accesa codul buggy extern fără a utiliza ceea ce este cunoscut sub numele de contrabandă HTTP, o tehnică de exploatare care interferează cu modul în care un site web procesează fluxurile de solicitări HTTP.
Vulnerabilitățile apar atunci când front-end-ul și back-end-ul unui site web interpretează limitele unei solicitări HTTP diferit și eroarea le desincronizează. Exploatarea acestor două elemente permite executarea codului de la distanță sub privilegiile componentei afectate pe dispozitivul firewall.
Mai jos sunt principalele constatări ale descoperirii și cercetării:
- Lanțul de vulnerabilități constă într-o metodă de eludare a validărilor serverului web extern (contrabandă HTTP) și a depășirii tamponului bazat pe stivă.
- Afectează firewall-urile Palo Alto care utilizează seria PAN-OS 8.1 cu GlobalProtect activat (în special versiunile <8.1.17).
- Sa demonstrat că exploatarea lanțului de vulnerabilități permite executarea de cod de la distanță în produsele firewall fizice și virtuale.
Acum nu există un cod de exploatare disponibil public.
Patch-urile sunt disponibile de la furnizor.
Sunt disponibile și semnăturile PAN Threat Prevention (ID 91820 și 91855) pentru a bloca exploatarea acestei probleme.
Pentru a exploata această vulnerabilitate, un atacator trebuie să aibă acces la rețea la dispozitiv pe portul de serviciu GlobalProtect (portul 443 implicit). Deoarece produsul afectat este un portal VPN, acest port este adesea accesibil pe Internet. Pe dispozitivele cu randomizarea spațiului de adresă (ASLR) 70 activată (ceea ce pare să fie cazul pentru majoritatea dispozitivelor), operarea este dificilă, dar posibilă.
Pe dispozitivele virtualizate (firewall-uri din seria VM), operarea este semnificativ mai ușoară din cauza lipsei ASLR și Randori se așteaptă să apară exploatări publice.
Cercetătorii Randori nu au exploatat depășirea tamponului pentru a avea ca rezultat execuția controlată a codului pe anumite versiuni de dispozitive hardware CPU cu plan de management bazate pe MIPS, datorită arhitecturii lor big endian, deși depășirea este accesibilă pe aceste dispozitive și poate fi folosită pentru a limita disponibilitatea serviciilor.
randori recomandă organizațiilor afectate să aplice corecțiile furnizate de PAN. În plus, PAN a pus la dispoziție semnături care pot fi activate pentru a împiedica exploatarea, în timp ce organizațiile plănuiesc să actualizeze software-ul.
Pentru organizațiile care nu folosesc caracteristica VPN ca parte a paravanului de protecție, recomandăm dezactivarea GlobalProtect.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre acesta, puteți consulta detaliile în următorul link.