Palo Altos massives Zero-Day-Loch

Palo Altos massiver Zero-Day-Loch-CVE 2021-3064 erzielte eine CVSS-Bewertung von 9.8 aus 10 für den Schweregrad der Schwachstelle. Die GlobalProtect-Firewall des PAN ermöglicht nicht authentifiziertes RCE auf mehreren Versionen von PAN-OS 8.1 vor 8.1.17, auf physischen und virtuellen Firewalls. Es verlässt möglicherweise 10,000 anfällige Firewalls, deren Waren dem Internet ausgesetzt sind. Randori-Recherchen zu der Schwachstelle haben ergeben, dass ein Angreifer, wenn er Zugang zu der Schwachstelle erhält, es ihm ermöglicht, eine Shell auf dem Zielsystem zu erlangen, auf sensible Konfigurationsdaten zugreifen, Zugangsdaten extrahieren und noch mehr.

Palo Altos massives Zero-Day-Loch

„Mit zunehmender Bedrohung durch Zero-Days, Immer mehr Organisationen fragen nach realistischen Möglichkeiten, sich auf unbekannte Bedrohungen vorzubereiten und zu trainieren, was zu einer ethischen Anwendung von Zero-Days führt.“ „Wenn ein Verteidiger nicht in der Lage ist, einen Fehler zu beheben, sie müssen sich auf andere Kontrollen verlassen. Echte Exploits ermöglichen es ihnen, diese Kontrollen zu validieren, und nicht nur auf künstliche Weise,“ Forschungen sagten in ihrem Bericht.

Anfangs hatte Randori das Vertrauen, dass „mehr als 70,000 gefährdete Instanzen wurden auf mit dem Internet verbundenen Assets aufgedeckt.“ Sie basierten die resultierenden Fakten auf einer Shodan-Suche nach Geräten, die dem Internet ausgesetzt waren. Das Randori Attack Team hat die Schwachstelle erstmals vor einem Jahr entdeckt. Sie haben einen funktionierenden Exploit entwickelt und gegen Randori-Kunden eingesetzt (mit Berechtigung) im Laufe des letzten Jahres. Randori synchronisierte die Offenlegung mit der PAN. Und am Mittwoch hat Palo Alto Networks ein Advisory und ein Update zum Patch veröffentlicht CVE-2021-3064.

CVE-2021-3064 erzeugt Überlauf in einem Puffer

Das Forschungsteam lieferte auch eine kurze technische Analyse von CVE-2021-3064. Es handelt sich um einen Pufferüberlauf, der auftritt, während vom Benutzer bereitgestellte Eingaben an einer Stelle mit fester Länge auf dem Stack analysiert werden. Um zum problematischen Code zu gelangen, Angreifer müssten eine HTTP-Schmuggeltechnik verwenden, Forscher gaben eine Erklärung dafür. Auf andere Weise, es ist von außen nicht erreichbar. Das Schmuggeln von HTTP-Anfragen ist eine Technik zum Eingreifen in die Art und Weise, wie eine Website Sequenzen von HTTP-Anfragen verarbeitet, die von einem oder mehreren Benutzern erhalten werden.

Darüber hinaus bot Randori Palo Alto-Kunden Empfehlungen zur Minderung der Bedrohung:

Protokolle und Warnungen vom Gerät beobachten;

  • Beschränken Sie die Ursprungs-IPs, die eine Verbindung zu Diensten herstellen dürfen;
  • Wenn Sie den GlobalProtect VPN-Teil der Palo Alto Firewall nicht verwenden, außer Gefecht setzen;
  • Autorisieren von Signaturen für eindeutige Bedrohungs-IDs 91820 und 91855 auf Datenverkehr, der für GlobalProtect-Portal- und Gateway-Schnittstellen bestimmt ist, um Angriffe gegen diese Schwachstelle zu verhindern;
  • Setzen Sie mehrschichtige Steuerelemente ein (wie Firewall, WAF, Segmentierung, Zugangskontrollen);
  • Setzen Sie alle ungenutzten Funktionen außer Betrieb.
  • Falls Sie die News verpassen, geben wir hier eine kurze Zusammenfassung. Der Moses-Stab Angriffsgruppe, die seit September die israelische Organisation terrorisiert 2021 veröffentlichte die 3D-Fotos des israelischen Gebiets. Die Gruppe motiviert ihr Handeln politisch und ruft nach potentiellen Partnern.

    Über Andrew Nail

    Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

    überprüfen Sie auch

    Nordkoreanische Hacker haben Sicherheitsunternehmen ins Visier genommen

    Nordkorea-Hacker haben Sicherheitsunternehmen ins Visier genommen

    In seiner ersten Ausgabe des neuen Threat Horizons-Berichts Google, unter anderen erkannten Cyber-Bedrohungen, …

    Neuer PowerShortShell Stealer nutzt aktuelle Microsoft MSHTML-Sicherheitslücke

    Neuer PowerShortShell-Stealer

    Im November 24, 2021 SafeBreach Labs veröffentlichte Forschung zu einem neuen iranischen Bedrohungsakteur, der …

    Hinterlasse eine Antwort