Detectaron una vulnerabilidad que afecta a más de 10,000 servidores vpn
Hace poco un grupo de investigadores dieron a conocer una vulnerabilidad con una clasificación de gravedad de 9,8 sobre 10, esto después de que dieran 1 año de gracia antes de que divulgarán dicha información.
Se ha demostrado que aproximadamente 10,000 servidores corporativos que utilizan Palo Alto Networks GlobalProtect VPN son vulnerables a un error de desbordamiento de búfer que se solucionó solo 12 meses después del descubrimiento.
La vulnerabilidad identificada por CVE-2021-3064 A es de 9,8 sobre 10 y se produce cuando se escanea la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila.
Una prueba de concepto del exploit desarrollada por investigadores de Randori demuestra el daño considerable que puede resultar.
“Esta vulnerabilidad afecta a nuestros firewalls que utilizan GlobalProtect VPN y permite la ejecución remota de código no autenticado en instalaciones vulnerables del producto. CVE-2021-3064 afecta a varias versiones de PAN-OS 8.1 antes de la 8.1.17 y encontramos muchas instancias vulnerables expuestas en activos conectados a Internet, más de 10,000 activos ”, dijo Randori.
El investigador independiente Kevin Beaumont dijo que la investigación de Shodan que realizó indica que aproximadamente la mitad de todas las instancias de GlobalProtect vistas por Shodan eran vulnerables.
El desbordamiento ocurre cuando el software analiza los datos proporcionados por el usuario en una ubicación de longitud fija en la pila.
No sé puede acceder al código con errores de forma externa sin utilizar lo que se conoce como contrabando HTTP, una técnica de explotación que interfiere con la forma en que un sitio web procesa las secuencias de solicitudes HTTP.
Las vulnerabilidades aparecen cuando el front-end y el back-end de un sitio web interpretan los límites de una solicitud HTTP de manera diferente y el error los desincroniza. La explotación de estos dos elementos permite la ejecución remota de código bajo los privilegios del componente afectado en el dispositivo de firewall.
A continuación se presentan las principales conclusiones del descubrimiento y la investigación:
- La cadena de vulnerabilidades consiste en un método para eludir las validaciones realizadas por un servidor web externo (contrabando HTTP) y el desbordamiento del búfer basado en la pila.
- Afecta a los firewalls de Palo Alto que utilizan la serie PAN-OS 8.1 con GlobalProtect habilitado (específicamente versiones <8.1.17).
- Se ha demostrado que la explotación de la cadena de vulnerabilidades permite la ejecución remota de código en productos de firewall físicos y virtuales.
Actualmente no hay un código de explotación disponible públicamente.
Los parches están disponibles a través del proveedor.
Las firmas de PAN Threat Prevention también están disponibles (ID 91820 y 91855) para bloquear la explotación de este problema.
Para aprovechar esta vulnerabilidad, un atacante debe tener acceso de red al dispositivo en el puerto de servicio GlobalProtect (puerto 443 por defecto). Como el producto afectado es un portal VPN, a menudo se puede acceder a este puerto en Internet. En dispositivos con distribución aleatoria del espacio de direcciones (ASLR) 70 habilitada (que parece ser el caso en la mayoría de los dispositivos), la operación es difícil pero posible.
En dispositivos virtualizados (firewalls de la serie VM), la operación es significativamente más fácil debido a la falta de ASLR y Randori espera que surjan exploits públicos.
Los investigadores de Randori no explotaron el desbordamiento del búfer para dar como resultado la ejecución de código controlado en ciertas versiones de dispositivos de hardware con CPU de plano de administración basadas en MIPS debido a su arquitectura big endian, aunque el desbordamiento es accesible en estos dispositivos y se puede utilizar para limitar la disponibilidad de servicios.
Randori recomienda que las organizaciones afectadas apliquen las correcciones proporcionadas por PAN. Además, PAN ha puesto a disposición firmas que se pueden activar para frustrar la explotación mientras las organizaciones planean actualizar el software.
Para las organizaciones que no usan la función VPN como parte del firewall, recomendamos deshabilitar GlobalProtect.
Finalmente si estás interesado en conocer más al respecto puedes consultar los detalles en el siguiente enlace.