Los investigadores esperan 12 meses para informar una vulnerabilidad con una calificación de gravedad de 9,8 sobre 10

Los investigadores esperan 12 meses para informar una vulnerabilidad con una calificación de gravedad de 9,8 sobre 10

Primer plano de la cinta de advertencia de estilo policial tensa contra un fondo borroso.

Aproximadamente 10 000 servidores empresariales que ejecutan GlobalProtect VPN de Palo Alto Networks son vulnerables a un error de desbordamiento de búfer que acaba de ser parcheado con una calificación de gravedad de 9.8 de 10 posibles.

La firma de seguridad Randori dijo el miércoles que descubrió la vulnerabilidad hace 12 meses y la usa principalmente de forma privada en sus productos Red Team, que ayudan a los clientes a probar las defensas de su red contra las amenazas del mundo real. La norma entre los profesionales de la seguridad es que los investigadores informen de forma privada las vulnerabilidades de alta gravedad a los proveedores lo antes posible en lugar de almacenarlas en secreto.

moverse lateralmente

CVE-2021-3064, como se rastrea la vulnerabilidad, es una falla de desbordamiento de búfer que ocurre cuando se analiza la entrada proporcionada por el usuario en una ubicación de longitud fija en la pila. Un exploit de prueba de concepto desarrollado por investigadores de Randori demuestra el daño masivo que puede resultar.

“Nuestro equipo pudo obtener un caparazón en el objetivo afectado, acceder a datos de configuración confidenciales, extraer credenciales, etc.”, escribieron los investigadores de Randori el miércoles. «Una vez que un atacante tiene el control del firewall, tendrá visibilidad de la red interna y podrá continuar moviéndose lateralmente».

En los últimos años, los piratas informáticos han explotado activamente las vulnerabilidades en una gran cantidad de firewalls y VPN empresariales como Citrix, Microsoft y Fortinet, advirtieron las agencias gubernamentales a principios de este año. También se atacaron productos empresariales similares, incluidos los de Pulse Secure y Sonic Wall. Ahora GlobalProtect de Palo Alto Networks podría estar a punto de unirse a la lista.

Un portal de GlobalProtect proporciona funciones de administración que bloquean los puntos finales de la red y protegen la información sobre las puertas de enlace disponibles y los certificados disponibles que pueden ser necesarios para conectarse a ellos. El portal también controla el comportamiento y la distribución del software de la aplicación GlobalProtect en puntos finales macOS y Windows.

Publicidad

CVE-2021-3064 solo afecta a las versiones anteriores a PAN-OS 8.1.17, donde se encuentra GlobalProtect VPN. Aunque estas compilaciones tienen más de un año, Randori dijo que los datos proporcionados por Shodan mostraron que alrededor de 10,000 servidores conectados a Internet los estaban ejecutando (una estimación de una versión anterior de la publicación puso el número en 70,000). El investigador independiente Kevin Beaumont dijo que la investigación de Shodan que realizó indicó que aproximadamente la mitad de todas las instancias de GlobalProtect vistas por Shodan eran vulnerables.

El desbordamiento ocurre cuando el software analiza la entrada proporcionada por el usuario en una ranura de longitud fija en la pila. No se puede acceder al código con errores desde el exterior sin usar el llamado contrabando HTTP, una técnica de explotación que interfiere con la forma en que un sitio web procesa las secuencias de solicitudes HTTP. Las vulnerabilidades surgen cuando el frontend y el backend de un sitio web interpretan el límite de una solicitud HTTP de manera diferente y el error los desincroniza.

La confusión suele ser el resultado de bibliotecas de códigos que se desvían de las especificaciones cuando se trata tanto del encabezado Content-Length como del encabezado Transfer-Encoding. En el proceso, se pueden agregar partes de una solicitud a una solicitud posterior que permite proporcionar la respuesta de la solicitud de contrabando a otro usuario. Las vulnerabilidades de contrabando de aplicaciones a menudo son críticas porque permiten que un atacante eluda los controles de seguridad, obtenga acceso no autorizado a datos confidenciales y comprometa directamente a otros usuarios de aplicaciones.

«Un agujero bastante grande», escribió el investigador de seguridad independiente David Longenecker sobre el error de GlobalProtect en Twitter. «Y el tipo de agujero que los actores más malos han explotado en casi todos los productos de acceso remoto durante los últimos años».

Randori dijo que el riesgo es particularmente agudo para las versiones virtuales del producto vulnerable porque no ha habilitado la aleatorización del diseño del espacio de direcciones, un mecanismo de seguridad comúnmente abreviado como ASLR diseñado para reducir significativamente las posibilidades de una operación exitosa.

Publicidad

«En dispositivos con ASLR habilitado (que parece ser el caso en la mayoría de los dispositivos de hardware), la explotación es difícil pero posible», escribieron los investigadores de Randori. «En los dispositivos virtualizados (firewalls de la serie VM), la explotación es mucho más fácil debido a la falta de ASLR y Randori espera que surjan explotaciones públicas. Los investigadores de Randori no han explotado el desbordamiento del búfer para provocar la ejecución controlada de código en algunas versiones de dispositivos de hardware con MIPS. basados ​​en procesadores de plano de administración debido a su arquitectura big endian, aunque se puede acceder al desbordamiento en estos dispositivos y se puede operar para limitar la disponibilidad de los servicios”.

¿Qué te tomó tanto tiempo?

La publicación de Randori afirma que los investigadores de la compañía descubrieron el desbordamiento de búfer y la falla de contrabando de HTTP en noviembre pasado. Unas semanas más tarde, la compañía «comenzó a permitir el uso de Vulnerability Chain como parte de la plataforma continua y automatizada del equipo rojo de Randori».

“Las herramientas y técnicas del equipo rojo, incluidas las vulnerabilidades de día cero, son necesarias para el éxito de nuestros clientes y del mundo de la ciberseguridad en su conjunto”, escribió el CTO de Randori, David Wolpoff, en un artículo. “Sin embargo, como cualquier herramienta ofensiva, la información de vulnerabilidad debe tratarse con cuidado y el debido respeto. Nuestra misión es proporcionar una experiencia de gran valor a nuestros clientes, al mismo tiempo que reconocemos y gestionamos los riesgos asociados. »

Palo Alto Networks tiene una breve descripción aquí. En un correo electrónico, los funcionarios de la compañía escribieron: «La seguridad de nuestros clientes es nuestra máxima prioridad. El aviso de seguridad de hoy aborda una vulnerabilidad que puede afectar a los clientes que usan versiones anteriores de PAN -OS (8.1.16 y anteriores). Tomamos medidas inmediatas. Como Como se indica en el aviso de seguridad, no tenemos conocimiento de ningún intento malicioso de explotar la vulnerabilidad. Recomendamos enfáticamente seguir las mejores prácticas para mantener los sistemas actualizados y agradecemos a los investigadores por alertarnos y compartir sus hallazgos.

Cualquier organización que utilice la plataforma GlobalProtect de Palo Alto Networks debe revisar detenidamente el aviso de Randori y parchear los servidores vulnerables lo antes posible.

Deja un comentario

Tu dirección de correo electrónico no será publicada.