O enorme buraco de dia zero de Palo Alto

O enorme buraco de dia zero de Palo Alto
Palo Alto, zero-day, vulnerabilidades

O enorme buraco de dia zero de Palo Alto CVE 2021-3064 obteve uma classificação CVSS de 9.8 fora de 10 para gravidade de vulnerabilidade. O firewall GlobalProtect do PAN permite RCE não autenticado em várias versões do PAN-OS 8.1 antes de 8.1.17, em firewalls físicos e virtuais. Potencialmente deixa 10,000 firewalls vulneráveis ​​com seus produtos expostos à internet. Pesquisas do Randori sobre a vulnerabilidade relataram que se um invasor obtiver acesso à vulnerabilidade, isso permitirá que ele obtenha um shell no sistema visado, acessar dados de configuração confidenciais, extraia credenciais e ainda mais.

O enorme buraco de dia zero de Palo Alto

“À medida que a ameaça do dia zero cresce, mais e mais organizações estão pedindo maneiras realistas de se preparar e treinar contra ameaças desconhecidas, o que se traduz em uma necessidade de uso ético do dia zero. ”“ Quando um defensor é incapaz de consertar uma falha, eles devem confiar em outros controles. Explorações reais permitem que eles validem esses controles, e não simplesmente de uma maneira artificial,” pesquisas disseram em seu relatório.

Inicialmente, Randori tinha confiança de que “mais do que 70,000 instâncias vulneráveis ​​foram expostas em ativos voltados para a Internet. ”Eles basearam os fatos resultantes em uma pesquisa Shodan de dispositivos expostos à Internet. A equipe de ataque Randori detectou a vulnerabilidade pela primeira vez há um ano. Eles desenvolveram um exploit funcional e o usaram contra clientes Randori (com autorização) durante o ano passado. Randori sincronizou a divulgação com o PAN. E na quarta-feira a Palo Alto Networks lançou um comunicado e uma atualização para corrigir CVE-2021-3064.

CVE-2021-3064 cria estouro em um buffer

A equipe de pesquisa também forneceu uma breve análise técnica do CVE-2021-3064. É um estouro de buffer que ocorre ao analisar a entrada fornecida pelo usuário em um local de comprimento fixo na pilha. Para chegar ao código problemático, os invasores teriam que usar uma técnica de contrabando de HTTP, pesquisadores deram uma explicação sobre isso. Em outros caminhos, não é acessível externamente. O contrabando de solicitações HTTP é uma técnica para intervir na maneira como um site processa sequências de solicitações HTTP obtidas de um ou mais usuários.

Além disso, Randori ofereceu recomendações para clientes de Palo Alto sobre como mitigar a ameaça:

Observe os registros e alertas do dispositivo;

  • Limitar IPs de origem com permissão para se conectar a serviços;
  • Se você não usa a parte VPN GlobalProtect do firewall Palo Alto, coloque-o fora de ação;
  • Autorizar assinaturas para IDs de ameaças exclusivas 91820 e 91855 no tráfego destinado ao portal GlobalProtect e interfaces de gateway para obstruir ataques contra esta vulnerabilidade;
  • Coloque controles em camadas (como firewall, WAF, segmentação, controles de acesso);
  • Coloque fora de ação quaisquer recursos não utilizados.

    • Caso você perca a notícia nós daremos um pequeno resumo aqui. The Moses Staff grupo de ataque que vem aterrorizando a organização israelense desde setembro 2021 publicou as fotos 3D da área israelense. O grupo motiva politicamente suas ações e convoca potenciais parceiros.

    Tag
    Foto de Andrew Nail

    Andrew Nail

    Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.
    Deixa um comentário

    Deixe uma resposta

    Botão Voltar ao Topo