Palo Altos massive nul-dages hul

Palo Altos massive nul-dages hul
Palo Alto, zero-day, sårbarheder

Palo Altos massive nul-dages hul CVE 2021-3064 scoret en CVSS-rating på 9.8 ud af 10 for sårbarhedens sværhedsgrad. PAN's GlobalProtect firewall giver mulighed for uautoriseret RCE på flere versioner af PAN-OS 8.1 før 8.1.17, på både fysiske og virtuelle firewalls. Det forlader potentielt 10,000 sårbare firewalls med deres varer udsat for internettet. Randori undersøgelser vedrørende sårbarheden rapporterede, at hvis en angriber får adgang til sårbarheden, vil det give dem mulighed for at få en shell på det målrettede system, få adgang til følsomme konfigurationsdata, udtrække legitimationsoplysninger og endnu mere.

Palo Altos massive nul-dages hul

"I takt med at truslen fra nul-dage vokser, flere og flere organisationer efterspørger realistiske måder at forberede sig på og træne mod ukendte trusler, hvilket oversættes til et behov for etisk brug af nul-dage.""Når en forsvarer ikke er i stand til at lappe en fejl, de skal stole på andre kontroller. Virkelige udnyttelser lader dem validere disse kontroller, og ikke blot på en konstrueret måde,” sagde undersøgelser i deres rapport.

Til at begynde med havde Randori tillid til, at "mere end 70,000 sårbare tilfælde blev afsløret på internet-vendte aktiver."De baserede de resulterende fakta på en Shodan-søgning af internet-eksponerede enheder. Randori Attack Team opdagede først sårbarheden for et år siden. De udviklede en fungerende udnyttelse og brugte den mod Randori-kunder (med autorisation) i løbet af det seneste år. Randori synkroniserede offentliggørelsen med PAN. Og onsdag udgav Palo Alto Networks en vejledning og en opdatering til patch CVE-2021-3064.

CVE-2021-3064 skaber overløb i en buffer

Forskerholdet leverede også en kort teknisk analyse af CVE-2021-3064. Det er et bufferoverløb, der finder sted, mens brugerleveret input analyseres til en placering med fast længde på stakken. For at komme til den problematiske kode, angribere skulle bruge en HTTP-smuglingsteknik, forskere gav en forklaring på det. På andre måder, det er ikke tilgængeligt udadtil. HTTP-anmodningssmugling er en teknik til at gribe ind i den måde, et websted behandler sekvenser af HTTP-anmodninger, som er opnået fra en eller flere brugere.

Derudover tilbød Randori anbefalinger til Palo Alto-kunder om, hvordan man kan afbøde truslen:

Observer logfiler og advarsler fra enheden;

  • Begræns oprindelses-IP'er, der må oprette forbindelse til tjenester;
  • Hvis du ikke bruger GlobalProtect VPN-delen af ​​Palo Alto-firewallen, sætte den ud af drift;
  • Godkend signaturer for unikke trussel-id'er 91820 og 91855 på trafik bestemt til GlobalProtect-portal og gateway-grænseflader for at forhindre angreb mod denne sårbarhed;
  • Sæt i lagdelte kontroller (såsom firewall, WAF, segmentering, adgangskontrol);
  • Sæt alle ubrugte funktioner ud af drift.

    • Hvis du går glip af nyhederne, giver vi et kort resumé her. Moses-staven angrebsgruppe, der har terroriseret den israelske organisation fra september 2021 offentliggjort 3D-billederne af det israelske område. Gruppen motiverer politisk deres handlinger og efterlyser potentielle partnere.

    Tags
    Foto af Andrew Nail

    Andrew Nail

    Cybersikkerhedsjournalist fra Montreal, Canada. Studerede kommunikationsvidenskab på Universite de Montreal. Jeg var ikke sikker på, om et journalistjob er det, jeg vil gøre i mit liv, men i forbindelse med tekniske videnskaber, det er præcis, hvad jeg kan lide at gøre. Mit job er at fange de mest aktuelle trends i cybersikkerhedsverdenen og hjælpe folk med at håndtere malware, de har på deres pc'er.
    Efterlad et Svar

    Efterlad et Svar

    Tilbage til toppen knap