Palo Alto Networks исправила критическую уязвимость в своих брандмауэрах

Palo Alto выпустила обновление, исправляющее серьёзную уязвимость CVE-2021-3064, после того, как в сентябре была уведомлена об этой проблеме.

Исследователи из фирмы Randori, занимающейся кибербезопасностью, обнаружили её в брандмауэрах Palo Alto Networks использующих GlobalProtect Portal VPN примерно год назад.

Эта недоработка, получившая рейтинг опасности 9.8 из 10 возможных, затрагивает многие версии PAN-OS 8.1 до 8.1.17. Она позволяет получать корневые привилегии и удалённо выполнять любой код без проверки его подлинности. По мнению Randori, на чёрном рынке незакрытая (zero-day) CVE-2021-3064 стоила бы несколько сотен тысяч долларов.

Чтобы воспользоваться уязвимостью, злоумышленник должен иметь сетевой доступ к устройству через служебный порт GlobalProtect (по умолчанию 443), который у порталов VPN часто остаётся открытым.

Randori заявила, что обнаружила многочисленные уязвимые экземпляры на более, чем 70 тыс. активах, подключенных к Интернету. Часть из них принадлежит компаниям из списка Fortune 500 и другим глобальным предприятиям.

Аарон Портной (Aaron Portnoy), главный научный сотрудник Randori, сказал, что на большинстве аппаратных устройств с включенной рандомизацией адресного пространства (Address Space Layout Randomization, ASLR) эксплуатация бага затруднительна, но возможна. Взлом же виртуализированных устройств (межсетевые экраны серии VM) существенно проще из-за отсутствия ASLR.

Портной сказал, что его команда смогла использовать shell-интерфейс скомпрометированной цели, получить доступ к конфиденциальным настройкам и учётным данным, и продвигаться горизонтально во внутренней сети.

В дополнение к патчу Randori предлагает затронутым организациям сигнатуры предотвращения угроз 91820 и 91855, предоставленные Palo Alto Networks. Их включение поможет предотвратить взлом, пока организации планируют обновление ПО Тем, кто не использует VPN-функциональность брандмауэра, Randori рекомендовала её отключить.