Palo Alto's enorme zero-day hole

Palo Alto's enorme zero-day hole
Palo Alto, zero-day, kwetsbaarheden

Palo Alto's enorme zero-day hole CVE 2021-3064 scoorde een CVSS-beoordeling van 9.8 van 10 voor de ernst van de kwetsbaarheid. De GlobalProtect-firewall van de PAN zorgt voor niet-geverifieerde RCE op meerdere versies van PAN-OS 8.1 vóór 8.1.17, op zowel fysieke als virtuele firewalls. Het gaat mogelijk weg 10,000 kwetsbare firewalls met hun goederen blootgesteld aan internet. Randori researches concerning the vulnerability reported that if an attacker gains an access to the vulnerability it will allow them to gain a shell on the targeted system, toegang tot gevoelige configuratiegegevens, inloggegevens extraheren en nog veel meer.

Palo Alto's enorme zero-day hole

“Naarmate de dreiging van zero-days groeit, steeds meer organisaties vragen om realistische manieren om zich voor te bereiden op en te trainen tegen onbekende dreigingen, wat zich vertaalt in een behoefte aan ethisch gebruik van zero-days.” “Als een verdediger een fout niet kan repareren, ze moeten vertrouwen op andere controles. Met echte exploits kunnen ze die controles valideren, en niet zomaar op een gekunstelde manier,” onderzoeken zeiden: in hun rapport.

Aanvankelijk had Randori er vertrouwen in dat "meer dan" 70,000 kwetsbare instanties werden blootgesteld aan op internet gerichte activa. "Ze baseerden de resulterende feiten op een Shodan-zoektocht van op internet blootgestelde apparaten". Het Randori Attack Team ontdekte de kwetsbaarheid een jaar geleden voor het eerst. Ze ontwikkelden een werkende exploit en gebruikten het tegen Randori-klanten (met autorisatie) het afgelopen jaar. Randori synchroniseerde de onthulling met de PAN. En op woensdag heeft Palo Alto Networks een advies uitgebracht en een update voor patch CVE-2021-3064.

CVE-2021-3064 creëert overloop in een buffer

Het onderzoeksteam gaf ook een korte technische analyse van CVE-2021-3064. Het is een bufferoverloop die plaatsvindt tijdens het parseren van door de gebruiker geleverde invoer naar een locatie met een vaste lengte op de stapel. Om bij de problematische code te komen:, aanvallers zouden een HTTP-smokkeltechniek moeten gebruiken, onderzoekers gaven er een verklaring voor. Op andere manieren, het is niet extern bereikbaar. Smokkelen van HTTP-verzoeken is een techniek om in te grijpen in de manier waarop een website reeksen HTTP-verzoeken verwerkt die zijn verkregen van een of meer gebruikers.

Daarnaast deed Randori aanbevelingen voor Palo Alto-klanten over hoe ze de dreiging konden verminderen:

Bekijk logboeken en waarschuwingen van het apparaat;

  • Beperk oorspronkelijke IP's die verbinding mogen maken met services;
  • Als u het GlobalProtect VPN-gedeelte van de Palo Alto-firewall niet gebruikt, buiten werking stellen;
  • Handtekeningen autoriseren voor unieke bedreigings-ID's 91820 En 91855 op verkeer dat bestemd is voor GlobalProtect-portal- en gateway-interfaces om aanvallen tegen dit beveiligingslek te belemmeren;
  • Plaats gelaagde bedieningselementen (zoals firewall, WAF, segmentatie, toegangscontroles);
  • Zet alle ongebruikte functies buiten werking.

    • Mocht je het nieuws missen, dan geven we hier een korte samenvatting. De Mozesstaf aanvalsgroep die de Israëlische organisatie sinds september terroriseert 2021 publiceerde de 3D-foto's van het Israëlische gebied. De groep motiveert hun acties politiek en roept potentiële partners op.

    Tags
    foto van Andrew Nail

    Andrew Nail

    Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.
    Laat een antwoord achter

    Laat een antwoord achter

    Terug naar boven knop