El enorme agujero de día cero de Palo Alto

CVE de agujero cero masivo de Palo Alto 2021-3064 obtuvo una calificación CVSS de 9.8 fuera de 10 para la gravedad de la vulnerabilidad. El cortafuegos GlobalProtect de PAN permite RCE no autenticado en múltiples versiones de PAN-OS 8.1 antes de 8.1.17, en firewalls físicos y virtuales. Potencialmente se va 10,000 cortafuegos vulnerables con sus productos expuestos a Internet. Las investigaciones de Randori sobre la vulnerabilidad informaron que si un atacante obtiene acceso a la vulnerabilidad, le permitirá obtener un caparazón en el sistema objetivo., acceder a datos de configuración sensibles, extraer credenciales y aún más.

El enorme agujero de día cero de Palo Alto

"A medida que crece la amenaza de los días cero, Cada vez más organizaciones piden formas realistas de prepararse y capacitarse contra amenazas desconocidas., lo que se traduce en la necesidad de un uso ético de los días cero ”.“ Cuando un defensor no puede reparar una falla, deben confiar en otros controles. Los exploits reales les permiten validar esos controles, y no simplemente de una manera artificial,” las investigaciones dijeron en su informe.

Inicialmente, Randori confiaba en que “más de 70,000 se expusieron instancias vulnerables en activos conectados a Internet ”. Basaron los hechos resultantes en una búsqueda de Shodan de dispositivos expuestos a Internet.. El equipo de ataque de Randori detectó la vulnerabilidad por primera vez hace un año.. Desarrollaron un exploit funcional y lo usaron contra los clientes de Randori. (con autorización) durante el año pasado. Randori sincronizó la divulgación con el PAN. Y el miércoles Palo Alto Networks lanzó un aviso y una actualización para parchear CVE-2021-3064.

CVE-2021-3064 crea desbordamiento en un búfer

El equipo de investigación también proporcionó un breve análisis técnico de CVE-2021-3064. Es un desbordamiento de búfer que tiene lugar mientras se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila.. Para llegar al código problemático, los atacantes tendrían que utilizar una técnica de contrabando HTTP, los investigadores dieron una explicación de ello. De otras maneras, no es accesible externamente. El contrabando de solicitudes HTTP es una técnica para intervenir en la forma en que un sitio web procesa secuencias de solicitudes HTTP que se obtienen de uno o más usuarios..

Además, Randori ofreció recomendaciones para los clientes de Palo Alto sobre cómo mitigar la amenaza.:

Observe registros y alertas del dispositivo.;

  • Limitar las direcciones IP de origen permitidas para conectarse a los servicios;
  • Si no utiliza la parte VPN de GlobalProtect del cortafuegos de Palo Alto, ponerlo fuera de acción;
  • Autorizar firmas para identificadores únicos de amenazas 91820 y 91855 en el tráfico destinado al portal GlobalProtect y las interfaces de puerta de enlace para obstruir los ataques contra esta vulnerabilidad;
  • Ponga controles en capas (como firewall, WAF, segmentación, controles de acceso);
  • Ponga fuera de acción las funciones no utilizadas.
  • En caso de que se pierda la noticia le daremos un breve resumen aquí.. El bastón de Moisés grupo de ataque que ha estado aterrorizando a la organización israelí desde septiembre 2021 publicó las fotos en 3D del área israelí. El grupo motiva políticamente sus acciones y llama a socios potenciales.

    Acerca de Andrew Nail

    Periodista de ciberseguridad de Montreal, Canadá. Estudió ciencias de la comunicación en la Universite de Montreal.. No estaba seguro de si un trabajo de periodista es lo que quiero hacer en mi vida., pero en conjunto con las ciencias técnicas, es exactamente lo que me gusta hacer. Mi trabajo es captar las tendencias más actuales en el mundo de la ciberseguridad y ayudar a las personas a lidiar con el malware que tienen en sus PC..

    también puedes ver

    Los piratas informáticos norcoreanos atacaron a las empresas de seguridad

    Los piratas informáticos de Corea del Norte apuntaron a empresas de seguridad

    En su primera edición del nuevo informe Threat Horizons, Google, entre otras ciberamenazas detectadas, …

    El nuevo ladrón de PowerShortShell aprovecha la vulnerabilidad reciente de Microsoft MSHTML

    Nuevo ladrón de PowerShortShell

    En noviembre 24, 2021 SafeBreach Labs publicó una investigación sobre un nuevo actor de amenazas iraní que utiliza …

    Deja una respuesta