Vulnerabilitate de tip zero-day în cadrul Palo Alto GlobalProtect VPN
Compania de securite cibernetică, Palo Alto Networks (PAN) atrage atenția asupra unei vulnerabilități de tip zero-day descoperită în cadrul firewall-urilor care folosesc GlobalProtect Portal VPN.
Aceasta a fost marcată ca CVE-2021-3064 și permite executarea cu drepturi de root a unor exploit-uri în cadrul portalului și interfeței GlobalProtect. Compania a marcat vulnerabilitatea ca fiind critică și a adăugat că pentru a putea fi exploatată, atacatorul trebuie să aibă acces prin rețea la portul 443 al dispozitivului. Bug-ul a fost descoperit în data de 26 octombrie 2020 de către Randori Attack Team și afectează versiunile anterioare 8.1.17, pentru care au fost publicate recent patch-uri pentru a remedia vulnerabilitatea.
CVE-2021-3064 este o vulnerabilitate de tip buffer overflow care apare în timpul analizării intrărilor furnizate de utilizator într-o locație cu lungime fixă din stivă. Exploatarea nu este posibil fără utilizarea unei tehnici de HTTP smuggling. Exploatarea celor două vulnerabilități împreună permite executarea codului de la distanță cu drepturi de root.
Palo Alto a declarat că în afara exploatărilor lansate de către Randori Attack Team, nu cunoaște vreo exploatare malițioasă a acestei vulnerabilități. Pentru a verifica dacă este activat un portal GlobalProtect pe dispozitivele afectate, se poate accesa meniul „Network > GlobalProtect > Portals” și „Network > GlobalProtect > Gateways” din interfața web de configurare.
Randori Attack Team recomandă organizațiilor afectate de această vulnerabilitate să aplice actualizările disponibile. De asemenea, se recomandă organizațiilor care nu folosesc funcția VPN, să dezactiveze GlobalProtect.
Sursa: https://www.randori.com/blog/cve-2021-3064, https://security.paloaltonetworks.com/CVE-2021-3064
