• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Nuevo 0-day en los cortafuegos GlobalProtect Portal VPN de Paloalto

Nuevo 0-day en los cortafuegos GlobalProtect Portal VPN de Paloalto

12 noviembre, 2021 Por Juan González Deja un comentario

Paloalto Networks (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064, descubierta y revelada por Randori. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto. El problema afecta a múltiples versiones de PAN-OS 8.1 anteriores a la 8.1.17 y Randori ha encontrado numerosas instancias vulnerables expuestas en activos públicos en Internet, más de 10.000 activos. 

Los investigadores de Randori han desarrollado un exploit que fue capaz de obtener shell en el objetivo afectado, acceder a datos de configuración sensibles, extraer credenciales, y más. Una vez que un atacante tiene el control del cortafuegos, tendrá visibilidad en la red interna y podrá proceder a moverse lateralmente.

Announcing CVE-2021-3064: a CVSS 9.8 unauthenticated RCE in @PaloAltoNtwks GlobalProtect VPN devices discovered and disclosed by @RandoriSecurity. Read on for our advisory and stay tuned for further technical details. https://t.co/18JGQnrBsm

— Randori Attack Team (@RandoriAttack) November 10, 2021

Conclusiones principales

Algunos de los puntos clave del descubrimiento y la investigación del equipo de Randori Attack en torno a la vulnerabilidad:

  • La cadena de vulnerabilidad consiste en un método para eludir las validaciones realizadas por un servidor web externo (HTTP smuggling) y un desbordamiento de búfer.
  • Afecta a los cortafuegos de Paloalto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect activado (concretamente las versiones < 8.1.17).
  • La explotación de la cadena de vulnerabilidad ha sido probada y permite la ejecución remota de código en productos de cortafuegos tanto físicos como virtuales.
  • En estos momentos no existe código de explotación disponible públicamente.
  • Los parches están disponibles a través del proveedor.
    • Las firmas de prevención de amenazas de PAN también están disponibles (IDs 91820 y 91855) para bloquear la explotación del problema.
  • Es probable que el código de explotación público salga a la luz a medida que:
    • Los dispositivos VPN son objetivos atractivos para los actores maliciosos, y
    • La explotación de los dispositivos virtuales PA-VM, en particular, es más fácil debido a su falta de aleatorización del espacio de direcciones (ASLR)

Exploit en funcionamiento

Recomendaciones

Randori recomienda a las organizaciones afectadas que apliquen los parches proporcionados por Paloalto. Además, PAN ha puesto a disposición las firmas de prevención de amenazas 91820 y 91855, que pueden activarse para impedir la explotación mientras las organizaciones planifican la actualización del software. Para las organizaciones que no utilizan la capacidad de VPN como parte del cortafuegos, recomendamos desactivar GlobalProtect.  

Como siempre, se deben seguir las mejores prácticas para cualquier activo que se exponga a Internet, incluyendo:

  • Supervisar los registros y las alertas para detectar actividades aberrantes.
  • Restringir las direcciones IP de origen, si es posible.
  • Aplicar controles por capas, como un cortafuegos de aplicaciones web, segmentación y controles de acceso.

Referencias:

  • Shodan: https://www.shodan.io/search/facet?query=http.html%3A%22Global+Protect%22&facet=os
  • PAN CVE: https://security.paloaltonetworks.com/CVE-2021-3064
  • Mitre CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3064
  • Randomi Twitter: https://www.twitter.com/RandoriAttack

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking con buscadores

Machine Learning aplicado a Ciberseguridad

Hacking de dispositivos iOS

Publicado en: General, Vulnerabilidades Etiquetado como: exploit, GlobalProtect, Paloalto, PAN, vpn

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...