Pred kratkim skupina raziskovalcev je razkrila ranljivost z eno ocena resnosti 9,8 od 10, to po tem, ko dajo 1 leto milosti, preden bodo razkrili takšne informacije.
Izkazalo se je, da je približno 10,000 strežnikov podjetij, ki uporabljajo Palo Alto Networks GlobalProtect VPN, ranljivih za napako prelivanja medpomnilnika, ki je bila odpravljena le 12 mesecev po odkritju.
Ranljivost, ki jo identificira CVE-2021-3064 A, je 9,8 od 10 in Pojavi se, ko se uporabniški vnos skenira na mesto s fiksno dolžino na skladu.
Dokaz koncepta izkoriščanja, ki so ga razvili raziskovalci pri Randoriju, dokazuje znatno škodo, ki lahko nastane.
"Ta ranljivost vpliva na naše požarne zidove, ki uporabljajo GlobalProtect VPN, in omogoča oddaljeno izvajanje nepreverjene kode na ranljivih namestitvah izdelka. CVE-2021-3064 vpliva na različne različice PAN-OS 8.1 pred 8.1.17 in našli smo veliko ranljivih primerov, izpostavljenih na sredstvih, povezanih z internetom, več kot 10,000 sredstev, «je dejal Randori.
Neodvisni preiskovalec Kevin Beaumont je dejal, da preiskava Shodana, ki jo je vodil, kaže na to približno polovica vseh primerov GlobalProtect, ki jih je videl Shodan, je bila ranljiva.
Prelivanje se pojavi, ko programska oprema razčleni uporabniški vnos na mestu s fiksno dolžino na skladu.
Ne vem, da lahko do hrošča dostopate od zunaj, ne da bi pri tem uporabljali tako imenovano tihotapljenje HTTP, tehniko izkoriščanja, ki moti način, kako spletno mesto obdeluje tokove zahtev HTTP.
Ranljivosti se pojavijo, ko sprednji in zadnji del spletnega mesta razlagata omejitve zahteve HTTP drugače in napaka jih desinhronizira. Izkoriščanje teh dveh elementov omogoča oddaljeno izvajanje kode pod privilegiji prizadete komponente na napravi požarnega zidu.
Spodaj so glavne ugotovitve odkritja in raziskav:
- Veriga ranljivosti je sestavljena iz metode izogibanja preverjanju zunanjih spletnih strežnikov (tihotapljenje HTTP) in prelivanja medpomnilnika na podlagi sklada.
- Vpliva na požarne zidove Palo Alto, ki uporabljajo serijo PAN-OS 8.1 z omogočenim GlobalProtect (zlasti različice <8.1.17).
- Pokazalo se je, da izkoriščanje verige ranljivosti omogoča oddaljeno izvajanje kode v fizičnih in virtualnih izdelkih požarnega zidu.
Zdaj ni javno dostopne kode za izkoriščanje.
Popravki so na voljo pri prodajalcu.
Na voljo so tudi podpisi PAN Threat Prevention (ID 91820 in 91855), da blokirate izkoriščanje te težave.
Če želite izkoristiti to ranljivost, napadalec mora imeti omrežni dostop do naprave na servisnih vratih GlobalProtect (vrata 443 privzeto). Ker je prizadeti izdelek portal VPN, so ta vrata pogosto dostopna v internetu. Na napravah z omogočeno randomizacijo naslovnega prostora (ASLR) 70 (kar se zdi, da velja za večino naprav), je delovanje težko, vendar možno.
Na virtualiziranih napravah (požarni zidovi serije VM) je delovanje bistveno lažje zaradi pomanjkanja ASLR in Randori pričakuje, da se bodo pojavili javni izkoriščanji.
Raziskovalci Randori niso izkoristili prelivanja medpomnilnika, da bi povzročilo nadzorovano izvajanje kode na določenih različicah strojne opreme CPU na ravni upravljanja, ki temelji na MIPS, zaradi njihove arhitekture big endian, čeprav je prelivanje dostopno na teh napravah. in se lahko uporablja za omejevanje dostopnost storitev.
randori priporoča, da prizadete organizacije uporabijo popravke, ki jih zagotavlja PAN. Poleg tega je PAN dal na voljo podpise, ki jih je mogoče aktivirati, da preprečijo izkoriščanje, medtem ko organizacije načrtujejo posodobitev programske opreme.
Za organizacije, ki ne uporabljajo funkcije VPN kot dela požarnega zidu, priporočamo, da onemogočite GlobalProtect.
Končno, če vas zanima več o tem, si lahko ogledate podrobnosti v naslednjo povezavo.