Palo Alto varuje pred chybou Zero-Day vo firewalloch pomocou GlobalProtect Portal VPN

V Palo Alto Networks GlobalProtect VPN bola odhalená nová zero-day zraniteľnosť, ktorú by mohol zneužiť neoverený sieťový útočník na spustenie ľubovoľného kódu na postihnutých zariadeniach s oprávneniami užívateľa root.

Sledované ako CVE-2021-3064 (skóre CVSS: 9.8), slabá stránka zabezpečenia má vplyv na PAN-OS 8.1 verzie staršie ako PAN-OS 8.1.17. Spoločnosť Randori so sídlom v Massachusetts zaoberajúca sa kybernetickou bezpečnosťou sa zaslúžila o odhalenie a nahlásenie problému.

„Reťazec zraniteľnosti pozostáva z metódy na obchádzanie overení vykonaných externým webovým serverom (HTTP pašovanie) a pretečenia vyrovnávacej pamäte na báze zásobníka,“ uviedli výskumníci z Randori. “Využitie reťazca zraniteľností bolo preukázané a umožňuje vzdialené spustenie kódu na fyzických aj virtuálnych firewallových produktoch.”

V znepokojujúcom zvrate udalostí však spoločnosť uviedla, že tento exploit používala ako súčasť svojho červeného tímu takmer 10 mesiacov predtým, ako ho koncom septembra 2021 oznámila spoločnosti Palo Alto Networks. Technické podrobnosti týkajúce sa CVE-2021-3064 boli zverejnené zadržané na 30 dní, aby sa zabránilo aktérom hroziacim zneužívať túto zraniteľnosť na uskutočnenie útokov v reálnom svete.

Bezpečnostná chyba pochádza z pretečenia vyrovnávacej pamäte, ku ktorému dochádza pri analýze vstupu dodaného používateľom. Úspešné využitie chyby si vyžaduje, aby ju útočník použil pomocou techniky známej ako pašovanie HTTP, aby sa dosiahlo vzdialené spustenie kódu na inštaláciách VPN, nehovoriac o tom, aby mal sieťový prístup k zariadeniu na predvolenom porte 443 služby GlobalProtect.

„Na portáli Palo Alto Networks GlobalProtect a rozhraniach brán existuje zraniteľnosť proti poškodeniu pamäte, ktorá umožňuje neoverenému sieťovému útočníkovi narušiť systémové procesy a potenciálne spustiť ľubovoľný kód s oprávneniami root,“ uviedol Palo Alto Networks v nezávislom poradenstve. “Na zneužitie tohto problému musí mať útočník sieťový prístup k rozhraniu GlobalProtect.”

Vzhľadom na skutočnosť, že zariadenia VPN sú lukratívnym cieľom pre škodlivých aktérov, dôrazne sa odporúča, aby používatelia rýchlo opravili túto zraniteľnosť. Ako riešenie Palo Alto Networks radí dotknutým organizáciám, aby povolili signatúry hrozieb pre identifikátory 91820 a 91855 v prevádzke určenej pre rozhrania portálu a brány GlobalProtect, aby sa predišlo akýmkoľvek potenciálnym útokom na CVE-2021-3064.