CVE de agujero cero masivo de Palo Alto 2021-3064 obtuvo una calificación CVSS de 9.8 fuera de 10 para la gravedad de la vulnerabilidad. El cortafuegos GlobalProtect de PAN permite RCE no autenticado en múltiples versiones de PAN-OS 8.1 antes de 8.1.17, en firewalls físicos y virtuales. Potencialmente se va 10,000 cortafuegos vulnerables con sus productos expuestos a Internet. Las investigaciones de Randori sobre la vulnerabilidad informaron que si un atacante obtiene acceso a la vulnerabilidad, le permitirá obtener un caparazón en el sistema objetivo., acceder a datos de configuración sensibles, extraer credenciales y aún más.
El enorme agujero de día cero de Palo Alto
"A medida que crece la amenaza de los días cero, Cada vez más organizaciones piden formas realistas de prepararse y capacitarse contra amenazas desconocidas., lo que se traduce en la necesidad de un uso ético de los días cero ”.“ Cuando un defensor no puede reparar una falla, deben confiar en otros controles. Los exploits reales les permiten validar esos controles, y no simplemente de una manera artificial,” las investigaciones dijeron en su informe.
Inicialmente, Randori confiaba en que “más de 70,000 se expusieron instancias vulnerables en activos conectados a Internet ”. Basaron los hechos resultantes en una búsqueda de Shodan de dispositivos expuestos a Internet.. El equipo de ataque de Randori detectó la vulnerabilidad por primera vez hace un año.. Desarrollaron un exploit funcional y lo usaron contra los clientes de Randori. (con autorización) durante el año pasado. Randori sincronizó la divulgación con el PAN. Y el miércoles Palo Alto Networks lanzó un aviso y una actualización para parchear CVE-2021-3064.
CVE-2021-3064 crea desbordamiento en un búfer
El equipo de investigación también proporcionó un breve análisis técnico de CVE-2021-3064. Es un desbordamiento de búfer que tiene lugar mientras se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila.. Para llegar al código problemático, los atacantes tendrían que utilizar una técnica de contrabando HTTP, los investigadores dieron una explicación de ello. De otras maneras, no es accesible externamente. El contrabando de solicitudes HTTP es una técnica para intervenir en la forma en que un sitio web procesa secuencias de solicitudes HTTP que se obtienen de uno o más usuarios..
Además, Randori ofreció recomendaciones para los clientes de Palo Alto sobre cómo mitigar la amenaza.:
Observe registros y alertas del dispositivo.;
En caso de que se pierda la noticia le daremos un breve resumen aquí.. El bastón de Moisés grupo de ataque que ha estado aterrorizando a la organización israelí desde septiembre 2021 publicó las fotos en 3D del área israelí. El grupo motiva políticamente sus acciones y llama a socios potenciales.