Pesquisadores anunciaram que foi descoberta uma vulnerabilidade que afeta mais de 10.000 servidores VPN. Confira os detalhes dessa ameaça.
Recentemente, um grupo de pesquisadores divulgou uma vulnerabilidade com uma classificação de gravidade de 9,8 em 10, isso depois de conceder um período de carência de 1 ano antes de divulgar essa informação.
É mencionado que aproximadamente 10.000 servidores corporativos estão usando a VPN afetada.
Descoberta uma vulnerabilidade que afeta mais de 10.000 servidores VPN
Aproximadamente 10.000 servidores corporativos usando o VPN GlobalProtect da Palo Alto Networks mostraram-se vulneráveis a um bug de estouro de buffer que foi corrigido apenas 12 meses após a descoberta.
A vulnerabilidade identificada por CVE-2021-3064 A é 9,8 de 10 e ocorre quando a entrada fornecida pelo usuário é varrida em um local de comprimento fixo na pilha.
Uma prova de conceito do exploit desenvolvido por pesquisadores da Randori demonstra os danos consideráveis que podem resultar.
Randori disse que:
“Esta vulnerabilidade afeta nossos firewalls usando GlobalProtect VPN e permite a execução remota de código não autenticado em instalações vulneráveis do produto. CVE-2021-3064 afeta várias versões do PAN-OS 8.1 anteriores a 8.1.17 e encontramos muitas instâncias vulneráveis expostas em ativos conectados à Internet, mais de 10.000 ativos.”
O pesquisador independente Kevin Beaumont disse que a pesquisa do Shodan que ele conduziu indica que cerca de metade de todas as instâncias do GlobalProtect vistas por Shodan eram vulneráveis.
O estouro ocorre quando o software analisa a entrada do usuário em um local de comprimento fixo na pilha.
Não sei se você pode acessar o código com erros externamente sem usar o que é conhecido como contrabando de HTTP, uma técnica de exploração que interfere na maneira como um site processa fluxos de solicitação HTTP.
As vulnerabilidades aparecem quando o front-end e o back-end de um site interpretam os limites de uma solicitação HTTP de maneira diferente e o erro os desincroniza. A exploração desses dois elementos permite a execução remota de código sob os privilégios do componente afetado no dispositivo de firewall.
Abaixo estão as principais conclusões da descoberta e pesquisa:
- A cadeia de vulnerabilidade consiste em um método de contornar validações de servidor web externo (contrabando de HTTP) e estouro de buffer baseado em pilha.
- Afeta os firewalls da Palo Alto usando a série PAN-OS 8.1 com GlobalProtect habilitado (especificamente versões <8.1.17).
- Foi demonstrado que a exploração da cadeia de vulnerabilidades permite a execução remota de código em produtos de firewall físicos e virtuais.
Atualmente não há código de exploração disponível publicamente.
Os patches estão disponíveis no fornecedor.
As assinaturas do PAN Threat Prevention também estão disponíveis (ID 91820 e 91855) para bloquear a exploração desse problema.
Para explorar esta vulnerabilidade, um invasor deve ter acesso à rede para o dispositivo na porta de serviço GlobalProtect (porta 443 por padrão). Como o produto afetado é um portal VPN, essa porta geralmente pode ser acessada na Internet.
Em dispositivos com a randomização de espaço de endereço (ASLR) 70 habilitada (o que parece ser o caso da maioria dos dispositivos), a operação é difícil, mas possível.
Em dispositivos virtualizados (firewalls da série VM), a operação é significativamente mais fácil devido à falta de ASLR e Randori espera que surjam exploits públicos.
Os pesquisadores do Randori não exploraram o estouro de buffer para resultar na execução de código controlado em certas versões de dispositivos de hardware de CPU de plano de gerenciamento baseado em MIPS devido à sua arquitetura big endian, embora o estouro seja acessível nesses dispositivos. E pode ser usado para limitar o disponibilidade de serviços.
Randori recomenda que as organizações afetadas apliquem as correções fornecidas pelo PAN. Além disso, a PAN disponibilizou assinaturas que podem ser ativadas para impedir a exploração enquanto as organizações planejam atualizar o software.
Para organizações que não usam o recurso VPN como parte do firewall, recomendamos desativar o GlobalProtect.
Por fim, se você tiver interesse em saber mais sobre o assunto, poderá conferir os detalhes no seguinte endereço.