Η Palo Alto προειδοποιεί για Zero-Day ευπάθεια σε Firewalls χρησιμοποιώντας το GlobalProtect Portal VPN

Η Palo Alto προειδοποιεί για Zero-Day ευπάθεια σε Firewalls χρησιμοποιώντας το GlobalProtect Portal VPN

Η Palo Alto προειδοποιεί για Zero-Day ευπάθεια σε Firewalls χρησιμοποιώντας το GlobalProtect Portal VPN

 

Μια νέα ευπάθεια zero-day αποκαλύφθηκε από την Palo Alto Networks για το GlobalProtect VPN, η οποία θα μπορούσε καταχραστεί από έναν μη εξουιοδοτημένο network based εισβολέα για την εκτέλεση αυθαίρετου κώδικα σε επηρεαζόμενες συσκευές με δικαιώματα χρήστη root.

Ανιχνεύτηκε ως CVE-2021-3064 (CVSS με σκορ: 9.8), η αδυναμία ασφάλειας επηρεάζει τις εκδόσεις του PAN-OS 8.1 παλαιότερες από το PAN-OS 8.1.17. Η εταιρεία κυβερνοασφάλειας Randori με έδρα τη Μασαχουσέτη πιστώθηκε ότι ανακάλυψε και ανέφερε το ζήτημα.

«Η αλυσίδα ευπάθειας αποτελείται από μια μέθοδο παράκαμψης validations που γίνονται από έναν εξωτερικό web server (HTTP smuggling) και ένα stack-based buffer overflow», είπαν οι ερευνητές του Randori. "Η εκμετάλλευση της ευπάθειας έχει αποδειχθεί και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα τόσο σε φυσικά όσο και σε εικονικά προϊόντα τείχους προστασίας."

Οι τεχνικές λεπτομέρειες που σχετίζονται με το CVE-2021-3064 έχουν αποσιωπηθεί για 30 ημέρες, προκειμένου να αποτραπεί η κατάχρηση της ευπάθειας από τους παράγοντες απειλών για την πραγματοποίηση επιθέσεων σε πραγματικό κόσμο.

 

Το σφάλμα ασφαλείας προέρχεται από ένα buffer overflow που προκύπτει κατά την ανάλυση των εισόδων που παρέχονται από τον χρήστη. Για την επιτυχή εκμετάλλευση του ελαττώματος, απαιτείται από τον εισβολέα να το συνδέσει με μια τεχνική γνωστή ως HTTP smuggling για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα στις εγκαταστάσεις VPN και έχει δικτυακή πρόσβαση στη συσκευή της υπηρεσίας GlobalProtect στην προεπιλεγμένη θύρα 443.

"Υπάρχει μια ευπάθεια καταστροφής της μνήμης στην πύλη και τις διεπαφές πύλης του Palo Alto Networks GlobalProtect που επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας που βασίζεται σε δίκτυο να διακόψει τις διαδικασίες του συστήματος και ενδεχομένως να εκτελεί αυθαίρετο κώδικα με δικαιώματα root."

"Υπάρχει μια ευπάθεια καταστροφής της μνήμης στο portal και τα gateway interfaces του GlobalProtect της Palo Alto Networks,  που επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας που βασίζεται σε δίκτυο να διακόψει τις διαδικασίες του συστήματος και ενδεχομένως να εκτελεί αυθαίρετο κώδικα με δικαιώματα root," δήλωσε η Palo Alto Networks σε μια ανεξάρτητη συμβουλευτική. "Ο εισβολέας πρέπει να έχει πρόσβαση δικτύου στο interface του GlobalProtect για να εκμεταλλευτεί αυτό το ζήτημα."

Λαμβάνοντας υπόψη το γεγονός ότι οι συσκευές VPN είναι επικερδείς στόχοι για κακόβουλους παράγοντες, συνιστάται ιδιαίτερα στους χρήστες να κινηθούν γρήγορα για να επιδιορθώσουν την ευπάθεια. Ως λύση, η Palo Alto Networks συμβουλεύει τους επηρεαζόμενους οργανισμούς να ενεργοποιήσουν τις υπογραφές απειλών για τα αναγνωριστικά 91820 και 91855 στην κυκλοφορία που προορίζεται για τα gateway interfaces και το portal του GlobalProtect για την αποτροπή τυχόν επιθέσεων κατά του CVE-2021-3064.