Nuevo 0-day en los cortafuegos GlobalProtect Portal VPN de Paloalto

Paloalto Networks (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064, descubierta y revelada por Randori. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto. El problema afecta a múltiples versiones de PAN-OS 8.1 anteriores a la 8.1.17 y Randori ha encontrado numerosas instancias vulnerables expuestas en activos públicos en Internet, más de 10.000 activos. 

Los investigadores de Randori han desarrollado un exploit que fue capaz de obtener shell en el objetivo afectado, acceder a datos de configuración sensibles, extraer credenciales, y más. Una vez que un atacante tiene el control del cortafuegos, tendrá visibilidad en la red interna y podrá proceder a moverse lateralmente.

Conclusiones principales

Algunos de los puntos clave del descubrimiento y la investigación del equipo de Randori Attack en torno a la vulnerabilidad:

• La cadena de vulnerabilidad consiste en un método para eludir las validaciones realizadas por un servidor web externo (HTTP smuggling) y un desbordamiento de búfer.
• Afecta a los cortafuegos de Paloalto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect activado (concretamente las versiones < 8.1.17).
• La explotación de la cadena de vulnerabilidad ha sido probada y permite la ejecución remota de código en productos de cortafuegos tanto físicos como virtuales.
• En estos momentos no existe código de explotación disponible públicamente.
• Los parches están disponibles a través del proveedor.
  • Las firmas de prevención de amenazas de PAN también están disponibles (IDs 91820 y 91855) para bloquear la explotación del problema.
• Es probable que el código de explotación público salga a la luz a medida que:
  • Los dispositivos VPN son objetivos atractivos para los actores maliciosos, y
  • La explotación de los dispositivos virtuales PA-VM, en particular, es más fácil debido a su falta de aleatorización del espacio de direcciones (ASLR)

Exploit en funcionamiento

Recomendaciones

Randori recomienda a las organizaciones afectadas que apliquen los parches proporcionados por Paloalto. Además, PAN ha puesto a disposición las firmas de prevención de amenazas 91820 y 91855, que pueden activarse para impedir la explotación mientras las organizaciones planifican la actualización del software. Para las organizaciones que no utilizan la capacidad de VPN como parte del cortafuegos, recomendamos desactivar GlobalProtect.  

Como siempre, se deben seguir las mejores prácticas para cualquier activo que se exponga a Internet, incluyendo:

• Supervisar los registros y las alertas para detectar actividades aberrantes.
• Restringir las direcciones IP de origen, si es posible.
• Aplicar controles por capas, como un cortafuegos de aplicaciones web, segmentación y controles de acceso.

Referencias:

• Shodan: https://www.shodan.io/search/facet?query=http.html%3A%22Global+Protect%22&facet=os
• PAN CVE: https://security.paloaltonetworks.com/CVE-2021-3064
• Mitre CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3064
• Randomi Twitter: https://www.twitter.com/RandoriAttack