Palo Alto Networks menambal zero-day yang memengaruhi firewall menggunakan GlobalProtect Portal VPN
Security

Palo Alto Networks menambal zero-day yang memengaruhi firewall menggunakan GlobalProtect Portal VPN

Para peneliti dari firma keamanan siber Randori telah menemukan kerentanan eksekusi kode jarak jauh di firewall Palo Alto Networks menggunakan GlobalProtect Portal VPN.

Zero-day — yang memiliki tingkat keparahan 9,8 — memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada instalasi produk yang rentan.

Masalah ini memengaruhi beberapa versi PAN-OS 8.1 sebelum 8.1.17 dan Randori mengatakan menemukan banyak contoh rentan yang terpapar pada aset yang menghadap internet, lebih dari 70.000 aset. Ini digunakan oleh sejumlah perusahaan Fortune 500 dan perusahaan global lainnya.

Palo Alto telah merilis pembaruan yang menambal CVE-2021-3064 setelah diberi tahu tentang masalah tersebut pada bulan September.

Aaron Portnoy, ilmuwan utama di Randori, mengatakan kepada ZDNet bahwa katalis asli untuk penelitian mereka ke dalam firewall Palo Alto Networks adalah identifikasi keberadaannya di batas pelanggan.

“Begitu penyerang memiliki kendali atas firewall, mereka akan memiliki visibilitas ke jaringan internal dan dapat melanjutkan untuk bergerak secara lateral. Randori percaya cara terbaik untuk mengidentifikasi titik serangan potensial adalah dengan menilai permukaan serangan. Kami kemudian mencurahkan sumber daya untuk menilai potensi serangan. menyerang permukaan firewall itu sendiri di lingkungan lab. Proses ini memungkinkan kami untuk mengidentifikasi komponen yang harus dieksploitasi penyerang untuk membahayakan perangkat,” jelas Portnoy.

“Seperti halnya dengan banyak produk sumber tertutup, cukup menyiapkan lingkungan di mana untuk mengembangkan eksploitasi itu menantang. Produk kompleks seperti firewall PAN menyertakan perlindungan yang membuat proses ini sulit terlepas dari kerentanannya. Kami telah menemukan keamanan keseluruhan postur perangkat yang terpengaruh agar setara dengan vendor lain di luar angkasa.”

Portnoy mengatakan bahwa eksploitasi itu sulit tetapi mungkin pada perangkat dengan ASLR diaktifkan, yang tampaknya menjadi kasus di sebagian besar perangkat keras.

“Pada perangkat tervirtualisasi (firewall seri VM), eksploitasi secara signifikan lebih mudah karena kurangnya ASLR dan Randori mengharapkan eksploitasi publik akan muncul,” kata Portnoy.

Menurut Portnoy, pada Oktober 2020 timnya ditugaskan untuk meneliti kerentanan dengan GlobalProtect Portal VPN. Pada November 2020, timnya menemukan CVE-2021-3064, mulai mengeksploitasi pelanggan Randori secara resmi, dan berhasil mendaratkannya di salah satu pelanggan mereka — melalui internet — tidak hanya di lab.

Eksploitasi memperoleh hak root — kontrol penuh atas perangkat — dan dapat mengeksekusi kode arbitrer. Portnoy mengatakan timnya dapat memperoleh shell pada target yang terpengaruh, mengakses data konfigurasi sensitif, mengekstrak kredensial, dan banyak lagi sambil bergerak menyamping dari sana dan mendapatkan visibilitas ke jaringan internal.

Randori mengeksploitasi Palo Alto Networks PA-5220, termasuk PAN-OS 8.1.16 dan PAN-OS 8.1.15.

“Rantai kerentanan terdiri dari metode untuk melewati validasi yang dibuat oleh server web eksternal (penyelundupan HTTP) dan buffer overflow berbasis tumpukan. Eksploitasi rantai kerentanan telah terbukti dan memungkinkan eksekusi kode jarak jauh pada produk firewall fisik dan virtual . Kode eksploitasi yang tersedia untuk umum tidak ada saat ini,” kata Randori.

“Perangkat VPN adalah target yang menarik bagi pelaku kejahatan, dan eksploitasi perangkat virtual PA-VM khususnya menjadi lebih mudah karena kurangnya Address Space Layout Randomization (ASLR). CVE-2021-3064 adalah buffer overflow yang terjadi saat mengurai pengguna. -memasukkan masukan ke lokasi dengan panjang tetap pada tumpukan. Kode bermasalah tidak dapat dijangkau secara eksternal tanpa menggunakan teknik penyelundupan HTTP. Eksploitasi ini bersama-sama menghasilkan eksekusi kode jarak jauh sebagai pengguna dengan hak istimewa rendah pada perangkat firewall.”

Randori mencatat bahwa untuk mengeksploitasi kerentanan, penyerang harus memiliki akses jaringan ke perangkat pada port layanan perlindungan global (port default 443). Karena produk yang terpengaruh adalah portal VPN, port ini sering dapat diakses melalui Internet, tambah mereka.

Selain tambalan, Randori menyarankan agar organisasi yang terkena dampak melihat melalui tanda tangan Pencegahan Ancaman yang tersedia 91820 dan 91855 yang disediakan Palo Alto Networks. Mereka dapat diaktifkan untuk menggagalkan eksploitasi saat organisasi merencanakan peningkatan perangkat lunak. Bagi mereka yang tidak menggunakan kemampuan VPN sebagai bagian dari firewall, Randori merekomendasikan untuk menonaktifkan fungsionalitas VPN.

Portnoy dan Randori menggembar-gemborkan situasi tersebut sebagai contoh penggunaan etika zero-days untuk melindungi perusahaan dari jenis ancaman yang mereka hadapi dari aktor negara-bangsa. Portnoy memperkirakan bahwa kerentanan akan bernilai beberapa ratus ribu dolar di pasar gelap.

Posted By : togel hari ini hongkong