Palo Altos enorme nulldagers hull

Palo Altos massive null-dagers hull CVE 2021-3064 scoret en CVSS-vurdering på 9.8 ut av 10 for alvorlighetsgraden av sårbarheten. PANs GlobalProtect-brannmur tillater uautentisert RCE på flere versjoner av PAN-OS 8.1 i forkant av 8.1.17, på både fysiske og virtuelle brannmurer. Den forlater potensielt 10,000 sårbare brannmurer med varene deres eksponert for internett. Randori undersøker angående sårbarheten rapporterte at hvis en angriper får tilgang til sårbarheten vil det tillate dem å få et skall på det målrettede systemet, tilgang til sensitive konfigurasjonsdata, trekke ut legitimasjon og enda mer.

Palo Altos enorme nulldagers hull

«Når trusselen fra null-dager vokser, flere og flere organisasjoner ber om realistiske måter å forberede seg på og trene mot ukjente trusler, som oversetter til et behov for etisk bruk av null-dager.» «Når en forsvarer ikke er i stand til å lappe en feil, de må stole på andre kontroller. Ekte utnyttelser lar dem validere disse kontrollene, og ikke bare på en konstruert måte,” sa undersøkelser i rapporten deres.

Til å begynne med hadde Randori tillit til at "mer enn 70,000 sårbare tilfeller ble avslørt på internett-vendte eiendeler.» De baserte de resulterende faktaene på et Shodan-søk på internetteksponerte enheter. Randori Attack Team oppdaget først sårbarheten for et år siden. De utviklet en fungerende utnyttelse og brukte den mot Randori-kunder (med autorisasjon) i løpet av det siste året. Randori synkroniserte avsløringen med PAN. Og på onsdag slapp Palo Alto Networks en veiledning og en oppdatering til oppdatering CVE-2021-3064.

CVE-2021-3064 skaper overløp i en buffer

Forskningsteamet ga også en kort teknisk analyse av CVE-2021-3064. Det er et bufferoverløp som finner sted mens brukerlevert input analyseres til et sted med fast lengde på stabelen. For å komme til den problematiske koden, angripere må bruke en HTTP-smuglingsteknikk, forskere ga en forklaring på det. På andre måter, det er ikke tilgjengelig utad. HTTP-forespørselssmugling er en teknikk for å gripe inn i måten et nettsted behandler sekvenser av HTTP-forespørsler som innhentes fra en eller flere brukere.

I tillegg tilbød Randori anbefalinger til Palo Alto-kunder om hvordan de kan redusere trusselen:

Observer logger og varsler fra enheten;

  • Begrens opprinnelses-IP-er som er tillatt å koble til tjenester;
  • Hvis du ikke bruker GlobalProtect VPN-delen av Palo Alto-brannmuren, sette den ut av funksjon;
  • Autoriser signaturer for unike trussel-IDer 91820 Og 91855 på trafikk destinert for GlobalProtect-portal og gateway-grensesnitt for å hindre angrep mot dette sikkerhetsproblemet;
  • Sett i lagdelte kontroller (som brannmur, WAF, segmentering, tilgangskontroller);
  • Sett alle ubrukte funksjoner ut av drift.
  • Hvis du savner nyhetene vil vi gi et kort sammendrag her. Moses-staben angrepsgruppe som har terrorisert den israelske organisasjonen fra september 2021 publiserte 3D-bildene av det israelske området. Gruppen motiverer deres handlinger politisk og etterlyser potensielle samarbeidspartnere.

    Om Andy

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

    Sjekk også

    Angripere bruker vanligvis ikke brut-force lange passord

    Angripere bruker vanligvis ikke brute-force lange passord

    Microsofts nettverk av honeypot-serverdata viste at svært få angrep var rettet mot lange og komplekse …

    Nok en Windows null-dag gir administratorrettigheter

    Nok en Windows null-dag gir administratorrettigheter

    Forsker Abdelhamid Naceri, som ofte rapporterer om Windows-feil denne gangen, droppet et fungerende proof-of-concept …

    Legg igjen et svar