Kamakailan lamang isang grupo ng mga mananaliksik ang nagbunyag ng isang kahinaan sa isa severity rating na 9,8 sa 10, ito pagkatapos nilang magbigay ng 1 taon ng biyaya bago nila ibunyag ang naturang impormasyon.
Humigit-kumulang 10,000 corporate server na gumagamit ng Palo Alto Networks GlobalProtect VPN ang ipinakitang mahina sa isang buffer overflow bug na naayos lamang 12 buwan pagkatapos matuklasan.
Ang kahinaan na kinilala ng CVE-2021-3064 A ay 9,8 sa 10 at Nangyayari kapag ang input na ibinigay ng user ay na-scan sa isang fixed-length na lokasyon sa stack.
Ang isang patunay ng konsepto ng pagsasamantala na binuo ng mga mananaliksik sa Randori ay nagpapakita ng malaking pinsala na maaaring magresulta.
"Ang kahinaang ito ay nakakaapekto sa aming mga firewall gamit ang GlobalProtect VPN at nagbibigay-daan sa malayuang pagpapatupad ng hindi na-authenticate na code sa mga vulnerable na pag-install ng produkto. Nakakaapekto ang CVE-2021-3064 sa iba't ibang bersyon ng PAN-OS 8.1 bago ang 8.1.17 at nakita namin ang maraming mga vulnerable na pagkakataon na nakalantad sa mga asset na konektado sa Internet, higit sa 10,000 asset, "sabi ni Randori.
Sinabi ng independiyenteng imbestigador na si Kevin Beaumont na ang pagsisiyasat ng Shodan na kanyang isinagawa ay nagpapahiwatig na humigit-kumulang kalahati ng lahat ng mga pagkakataon sa GlobalProtect na nakita ni Shodan ay mahina.
Nagaganap ang overflow kapag na-parse ng software ang input ng user sa isang fixed-length na lokasyon sa stack.
Hindi ko alam na maa-access mo ang buggy code sa labas nang hindi gumagamit ng tinatawag na HTTP smuggling, isang diskarte sa pagsasamantala na nakakasagabal sa paraan ng pagpoproseso ng website ng mga stream ng kahilingan sa HTTP.
Lumilitaw ang mga kahinaan kapag binibigyang-kahulugan ng front-end at back-end ng isang website ang mga limitasyon ng isang kahilingan sa HTTP naiiba at ang error ay nag-desynchronize sa kanila. Ang pagsasamantala sa dalawang elementong ito ay nagpapahintulot sa malayuang pagpapatupad ng code sa ilalim ng mga pribilehiyo ng apektadong bahagi sa firewall device.
Nasa ibaba ang mga pangunahing natuklasan ng pagtuklas at pananaliksik:
- Ang kadena ng kahinaan ay binubuo ng isang paraan ng pag-iwas sa mga panlabas na pagpapatunay ng web server (pagpuslit ng HTTP) at pag-apaw ng buffer na nakabatay sa stack.
- Nakakaapekto sa mga firewall ng Palo Alto gamit ang PAN-OS 8.1 series na naka-enable ang GlobalProtect (partikular ang mga bersyon <8.1.17).
- Ang pagsasamantala sa hanay ng mga kahinaan ay ipinakita upang payagan ang malayuang pagpapatupad ng code sa pisikal at virtual na mga produkto ng firewall.
Ngayon walang available na pampublikong exploit code.
Available ang mga patch mula sa vendor.
Available din ang mga lagda ng PAN Threat Prevention (ID 91820 at 91855) upang harangan ang pagsasamantala sa isyung ito.
Upang samantalahin ang kahinaang ito, dapat may network access ang isang attacker sa device sa GlobalProtect service port (port 443 bilang default). Dahil ang apektadong produkto ay isang VPN portal, ang port na ito ay madalas na naa-access sa Internet. Sa mga device na may naka-enable na address space randomization (ASLR) 70 (na lumalabas na ang kaso para sa karamihan ng mga device), mahirap ang operasyon ngunit posible.
Sa mga virtualized na device (mga VM series firewall), mas madali ang operasyon dahil sa kakulangan ng ASLR at inaasahan ni Randori na lalabas ang mga pampublikong pagsasamantala.
Hindi sinamantala ng mga mananaliksik ng Randori ang buffer overflow upang magresulta sa kontroladong pagpapatupad ng code sa ilang partikular na bersyon ng MIPS-based management plane na CPU hardware device dahil sa kanilang malaking endian na arkitektura, bagama't ang overflow ay naa-access sa mga device na ito. at maaaring gamitin upang limitahan ang pagkakaroon ng mga serbisyo.
randori Inirerekomenda ng mga apektadong organisasyon na ilapat ang mga pag-aayos na ibinigay ng PAN. Bilang karagdagan, ang PAN ay gumawa ng mga magagamit na lagda na maaaring i-activate upang hadlangan ang pagsasamantala habang ang mga organisasyon ay nagpaplanong mag-update ng software.
Para sa mga organisasyong hindi gumagamit ng tampok na VPN bilang bahagi ng firewall, inirerekomenda namin na huwag paganahin ang GlobalProtect.
Sa wakas, kung interesado kang malaman ang higit pa tungkol dito, maaari mong konsultahin ang mga detalye sa susunod na link.