13 nov 2021

Vulnerabilidad crítica en Alto Networks GlobalProtect VPN

El 10 de noviembre de 2021, Palo Alto Networks (PAN) proporcionó una actualización que parcheó CVE-2021-3064 (CVSS 9.8) que fue descubierto y revelado por la empresa Randori. Esta vulnerabilidad afecta a los firewall PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código no autenticado en instalaciones vulnerables del producto.

Aaron Portnoy, científico principal de Randori, explicó a ZDNet que en octubre de 2020, su equipo tenía la tarea de investigar las vulnerabilidades con GlobalProtect Portal VPN. En noviembre de 2020, su equipo descubrió el Zero-Day CVE-2021-3064, comenzó la explotación autorizada de los clientes de Randori y lo envió con éxito a uno de sus clientes, a través de Internet, no solo en un laboratorio. Las acciones de Randori han causado una reacción considerable de algunos en la comunidad de ciberseguridad, quienes argumentan que la compañía no debería haber esperado 12 meses antes de revelarlo a Palo Alto Networks. Portnoy ha publicado múltiples declaraciones en Twitter defendiendo a la empresa de las críticas.

El problema afecta a múltiples versiones de PAN-OS 8.1 antes de la 8.1.17 y Randori ha encontrado numerosas instancias vulnerables expuestas en activos conectados a Internet, más de 10.000 activos.

El equipo desarrolló un exploit que permite obtener una shell en el objetivo afectado, acceder a datos de configuración confidenciales, extraer credenciales y mucho más. Una vez que un atacante logra el control sobre el firewall, tendrá visibilidad de la red interna y podrá moverse lateralmente.

CVE-2021-3064 es un desbordamiento de búfer que se produce mientras se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila. El código problemático no es accesible externamente sin utilizar una técnica de smuggling HTTP. La explotación de estos juntos produce la ejecución remota de código bajo los privilegios del componente afectado en el dispositivo de firewall.

El smuggling de solicitudes HTTP es una técnica para interferir con la forma en que un sitio web procesa secuencias de solicitudes HTTP que se reciben de los usuarios. Este tipo de vulnerabilidades son a menudo de naturaleza crítica, lo que permite a un atacante eludir los controles de seguridad, obtener acceso no autorizado a datos confidenciales y comprometer directamente a otros usuarios de la aplicación.

Para aprovechar esta vulnerabilidad, un atacante debe tener acceso de red al dispositivo en el puerto de servicio GlobalProtect (puerto predeterminado 443). Como el producto afectado es un portal VPN, a menudo se puede acceder a este puerto a través de Internet. En dispositivos con ASLR habilitado (que parece ser el caso en la mayoría de los dispositivos de hardware), la explotación es difícil pero posible.

En dispositivos virtualizados (firewalls de la serie VM), la explotación es significativamente más fácil debido a la falta de ASLR y se espera que pronto surjan exploits públicos.

  • La cadena de vulnerabilidades consiste en un método para eludir las validaciones realizadas por un servidor web externo HTTP smuggling y un desbordamiento de búfer basado en la pila.
  • Afecta a los firewalls de Palo Alto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect habilitado (específicamente versiones <8.1.17).
  • Se ha probado la explotación de la cadena de vulnerabilidades y permite la ejecución remota de código en productos de firewall tanto físicos como virtuales.
  • El código de explotación disponible públicamente no existe en este momento pero es probable que el código de explotación pública aparezca pronto
  • Los parches están disponibles en el proveedor.

En un esfuerzo por evitar permitir el uso indebido, los detalles técnicos relacionados con CVE-2021-3064 no se divulgarán públicamente durante un período de 30 días a partir de la fecha de esta publicación. En ese momento se dará a conocer más información. 

Fuente: Randori

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!