Palo Alto warnt vor Zero-Day-Bug in Firewalls mit GlobalProtect Portal VPN

  • In Palo Alto Networks GlobalProtect VPN wurde eine neue Zero-Day-Schwachstelle entdeckt, die von einem nicht authentifizierten, netzwerkbasierten Angreifer dazu missbraucht werden könnte, beliebigen Code auf den betroffenen Geräten mit Root-Rechten auszuführen.

    Die Sicherheitslücke wird als CVE-2021-3064 (CVSS-Score: 9.8) bezeichnet und betrifft PAN-OS 8.1-Versionen vor PAN-OS 8.1.17. Das in Massachusetts ansässige Cybersicherheitsunternehmen Randori wurde für die Entdeckung und Meldung des Problems verantwortlich gemacht.

    [Blocked Image: https://thehackernews.com/images/-_qK1yHVo__w/YVHUUsSpIGI/AAAAAAAA4aY/cbPcuH6NoWs085FCBPnEubY4Xg4ehW0nwCLcBGAsYHQ/s728-e100/rewind-3-728.png]

    “Die Schwachstellenkette besteht aus einer Methode zur Umgehung von Validierungen durch einen externen Webserver (HTTP-Schmuggel) und einem stapelbasierten Pufferüberlauf”, so die Randori-Forscher. “Die Ausnutzung der Schwachstellen-Kette wurde nachgewiesen und ermöglicht die Remote-Code-Ausführung sowohl auf physischen als auch auf virtuellen Firewall-Produkten.”

    Die technischen Details zu CVE-2021-3064 wurden für 30 Tage zurückgehalten, um zu verhindern, dass Bedrohungsakteure die Schwachstelle für reale Angriffe missbrauchen können.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEilFMcajwZHFBEC8uB9M9A4I32c9yO3_wwVQ69PxZDPWv9jMnSPyvNoXzwgw31zCD1hkpcjyjrOmWJmP4b9M47x0zkmRNzjitk_2QbpDag22tHhgUZRGn-Clpjw2yOLyFBNgBc8GLhPMs4Ym4-13ScCGihUepRQGJL4N3Fxrj0t2u5nAEI2Q7Edis7Q]

    Der Sicherheitsfehler rührt von einem Pufferüberlauf her, der beim Parsen von Benutzereingaben auftritt. Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer sie mit einer als HTTP-Schmuggel bekannten Technik ausnutzen, um Remote-Code-Ausführung auf den VPN-Installationen zu erreichen, ganz abgesehen davon, dass er über den Standard-Port 443 des GlobalProtect-Dienstes Netzwerkzugriff auf das Gerät hat.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    “In den GlobalProtect-Portal- und -Gateway-Schnittstellen von Palo Alto Networks besteht eine Schwachstelle im Speicher, die es einem nicht authentifizierten, netzwerkbasierten Angreifer ermöglicht, Systemprozesse zu stören und möglicherweise beliebigen Code mit Root-Rechten auszuführen”, so Palo Alto Networks in einem unabhängigen Advisory. “Der Angreifer muss über Netzwerkzugriff auf die GlobalProtect-Schnittstelle verfügen, um dieses Problem auszunutzen.”

    Angesichts der Tatsache, dass VPN-Geräte lukrative Ziele für böswillige Akteure sind, wird den Benutzern dringend empfohlen, die Sicherheitslücke schnell zu schließen. Als Workaround rät Palo Alto Networks den betroffenen Unternehmen, Bedrohungssignaturen für die Identifikatoren 91820 und 91855 für den Datenverkehr zu aktivieren, der für die GlobalProtect Portal- und Gateway-Schnittstellen bestimmt ist, um mögliche Angriffe auf CVE-2021-3064 zu verhindern.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com