Останнім часом група дослідників виявила вразливість з одного оцінка тяжкості 9,8 з 10, це після того, як вони дадуть 1 рік пільги, перш ніж вони розголошують таку інформацію.
Було показано, що приблизно 10,000 12 корпоративних серверів, які використовують Palo Alto Networks GlobalProtect VPN, є вразливими до помилки переповнення буфера, яку було виправлено лише через XNUMX місяців після виявлення.
Уразливість, визначена CVE-2021-3064 A, становить 9,8 з 10 і Відбувається, коли введені дані, надані користувачем, скануються до місця фіксованої довжини в стеку.
Доказ концепції експлойту, розроблений дослідниками з Randori, демонструє значну шкоду, яка може призвести до цього.
"Ця вразливість впливає на наші брандмауери, які використовують GlobalProtect VPN, і дозволяє віддалено виконувати неавтентифікований код на вразливих інсталяціях продукту. CVE-2021-3064 впливає на різні версії PAN-OS 8.1 до 8.1.17, і ми виявили багато вразливих екземплярів, відкритих для активів, підключених до Інтернету, понад 10,000 XNUMX активів», — сказав Рандори..
Незалежний слідчий Кевін Бомонт сказав, що розслідування Shodan, яке він проводив, свідчить про це приблизно половина всіх екземплярів GlobalProtect, які бачив Shodan, були вразливими.
Переповнення відбувається, коли програмне забезпечення аналізує введені користувачем дані в місці фіксованої довжини в стеку.
Я не знаю, що ви можете отримати доступ до помилкового коду ззовні, не використовуючи так звану контрабанду HTTP, метод експлойту, який перешкоджає тому, як веб-сайт обробляє потоки запитів HTTP.
Уразливості з’являються, коли інтерфейс і бек-енд веб-сайту інтерпретують обмеження HTTP-запиту. по-різному, і помилка десинхронізує їх. Використання цих двох елементів дозволяє віддалено виконувати код під привілеями ураженого компонента на пристрої брандмауера.
Нижче наведені основні висновки відкриття та дослідження:
- Ланцюжок уразливостей складається з методу обходу перевірки зовнішнього веб-сервера (контрабанда HTTP) і переповнення буфера на основі стека.
- Впливає на брандмауери Palo Alto, які використовують серію PAN-OS 8.1 з увімкненим GlobalProtect (зокрема, версії <8.1.17).
- Було показано, що використання ланцюжка вразливостей дозволяє віддалено виконувати код у фізичних та віртуальних продуктах брандмауера.
Зараз немає загальнодоступного коду експлойту.
Патчі доступні у постачальника.
Також доступні підписи PAN Threat Prevention (ID 91820 та 91855), щоб заблокувати використання цієї проблеми.
Щоб використати цю вразливість, зловмисник повинен мати доступ до мережі до пристрою через порт служби GlobalProtect (порт 443 за замовчуванням). Оскільки заражений продукт є порталом VPN, цей порт часто доступний в Інтернеті. На пристроях з увімкненою рандомізацією адресного простору (ASLR) 70 (що, здається, має місце для більшості пристроїв), працювати складно, але можливо.
На віртуалізованих пристроях (брандмауери серії VM) операція значно легша через відсутність ASLR, і Рандори очікує, що з’являться публічні експлойти.
Дослідники Randori не використовували переповнення буфера, щоб привести до контрольованого виконання коду на певних версіях апаратних пристроїв ЦП на базі MIPS через їх архітектуру з великим порядком порядків, хоча переповнення доступне на цих пристроях. і може використовуватися для обмеження доступність послуг.
Рандорі рекомендує постраждалим організаціям застосувати виправлення, надані PAN. Крім того, PAN зробив доступними підписи, які можна активувати, щоб запобігти експлуатації, поки організації планують оновлювати програмне забезпечення.
Для організацій, які не використовують функцію VPN як частину брандмауера, ми рекомендуємо вимкнути GlobalProtect.
Нарешті, якщо вам цікаво дізнатися більше про це, ви можете ознайомитися з деталями в наступна посилання.