GlobalProtectポータルVPNを使用するパロアルトネットワークス(PAN)ファイアウォールの特定のバージョンに影響を与える重大なRCE脆弱性(CVE-2021-3064)の存在は、過去12か月のレッドチームエンゲージメント中にそれを悪用したサイバーセキュリティ会社によって明らかにされました。

CVE-2021-3064

脆弱性にはパッチが適用されています、脆弱なインターネット向けインストールがまだ10,000を超えているため、Randori(前述のサイバーセキュリティ会社)は、影響を受ける組織にパッチを適用するのに十分な時間を与えるために、脆弱性に関連する技術的な詳細の公開を1か月控えます。 。

CVE-2021-3064について

「CVE-2021-3064は、ユーザーが入力した入力をスタック上の固定長の場所に解析しているときに発生するバッファオーバーフローです。問題のあるコードは、HTTP密輸技術を利用せずに外部から到達することはできません。これらを一緒に悪用すると、ファイアウォールデバイス上の影響を受けるコンポーネントの権限でリモートでコードが実行されます」とRandori攻撃チームは説明しました

「この脆弱性を悪用するには、攻撃者はGlobalProtectサービスポート(デフォルトのポート443)でデバイスにネットワークアクセスできる必要があります。影響を受ける製品はVPNポータルであるため、このポートにはインターネット経由でアクセスできることがよくあります。ASLRが有効になっているデバイス(ほとんどのハードウェアデバイスに当てはまるようです)では、悪用は困難ですが可能です。仮想化デバイス(VMシリーズファイアウォール)では、ASLRがないため、エクスプロイトが大幅に容易になり、Randoriはパブリックエクスプロイトが表面化すると予想しています。」

Palo Alto Networksは、この脆弱性がPAN-OS8.1.17より前のPAN-OS8.1バージョンに影響を及ぼし、GlobalProtectポータルまたはゲートウェイが有効になっているPAN-OSファイアウォール構成のみに影響を与えることを確認しました。

同社は、このバグが実際に悪用されている、または悪用されたという証拠は見たことがないと述べ、「脆弱性の性質上、信頼できる侵害の兆候はない」とも述べています。

緩和

管理者は、提供された更新を実装するか、影響を受けない新しいPAN-OSバージョンにアップグレードすることをお勧めします。

それがすぐに不可能な場合は、次のいずれかの方法で悪用のリスクを軽減できます。

  • GlobalProtectポータルまたはゲートウェイを無効にする(VPN機能を使用していない場合)、または
  • GlobalProtectポータルおよびゲートウェイインターフェイス宛てのトラフィックで一意の脅威ID91820および91855の脅威防止シグニチャを有効にして、CVE-2021-3064に対する攻撃をブロックします。

コメントをどうぞ