Palo Alto advierte sobre un error de día cero en los firewalls utilizando GlobalProtect Portal VPN

09:44 16/11/2021 | 2 Lượt xem

Se ha revelado una nueva vulnerabilidad de día cero en Palo Alto Networks GlobalProtect VPN que podría ser abusada por un atacante de red no autenticado para ejecutar código arbitrario en los dispositivos afectados con privilegios de usuario raíz.

Registrado como CVE-2021-3064 (puntuación CSS: 9.8), el agujero de seguridad afecta a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.17. Randori, una empresa de ciberseguridad con sede en Massachusetts, recibió crédito por descubrir y reportar el problema.

Copias de seguridad automáticas de GitHub

“La cadena de vulnerabilidades consiste en un método para eludir las validaciones realizadas por un servidor web externo (contrabando HTTP) y un desbordamiento de búfer basado en pilas”, dijeron los investigadores de Randori. “Se ha probado la explotación de la cadena de vulnerabilidad y permite la ejecución remota de código en productos de firewall físicos y virtuales”.

Sin embargo, en un giro inquietante de los acontecimientos, la compañía dijo que utilizó este exploit como parte de sus compromisos del equipo rojo durante casi 10 meses antes de lanzarlo a Palo Alto Networks a fines de septiembre de 2021. Los detalles técnicos relacionados con CVE -2021-3064 han sido se lleva a cabo durante 30 días para evitar que los actores de amenazas abusen de la vulnerabilidad para realizar ataques en el mundo real.

El error de seguridad se debe a un desbordamiento del búfer que se produce durante el análisis de la entrada proporcionada por el usuario. La explotación exitosa de la falla requiere que el atacante lo vincule con una técnica conocida como contrabando HTTP para obtener la ejecución remota de código a través de instalaciones VPN, sin mencionar tener acceso de red al dispositivo en el puerto predeterminado 443 del servicio GlobalProtect.

Evite las filtraciones de datos

“Existe una vulnerabilidad de corrupción de memoria en el portal GlobalProtect de Palo Alto Networks y las interfaces de puerta de enlace que permiten que un atacante de red no autenticado interrumpa los procesos del sistema y ejecute código arbitrario con privilegios de root”, dijo Palo Alto Networks en un comunicado independiente. “El atacante debe tener acceso de red a la interfaz de GlobalProtect para aprovechar este problema”.

Teniendo en cuenta el hecho de que los dispositivos VPN son objetivos rentables para los agentes malintencionados, se recomienda encarecidamente que los usuarios se muevan rápidamente para remediar la vulnerabilidad. Como solución alternativa, Palo Alto Networks aconseja a las organizaciones afectadas que habiliten firmas de amenazas para los identificadores 91820 y 91855 en el tráfico destinado al portal GlobalProtect y las interfaces de puerta de enlace para evitar posibles ataques contra CVE-2021-3064.

Related Posts

lên đầu trang