Los investigadores tienen un exploit de trabajo para la vulnerabilidad (ahora parcheado), que permite RCE no autenticado y afecta a lo que Palo Alto aclaró es un estimado de 10.000 VPN / firewalls.
Los investigadores han desarrollado un exploit funcional para obtener la ejecución remota de código (RCE) a través de una vulnerabilidad masiva en un dispositivo de seguridad de Palo Alto Networks (PAN), dejando potencialmente 10.000 firewalls vulnerables con sus bienes expuestos a Internet.
El día cero crítico, rastreado como CVE 2021-3064 y con una calificación CVSS de 9,8 sobre 10 para la gravedad de la vulnerabilidad, se encuentra en el cortafuegos GlobalProtect de PAN. Permite el RCE no autenticado en múltiples versiones de PAN-OS 8.1 anteriores a la 8.1.17, tanto en cortafuegos físicos como virtuales.
111021 14:04 ACTUALIZACIÓN: Las actualizaciones de PAN cubren las versiones 9.0 y 9.1, pero según la investigación de Randori, esas versiones no son vulnerables a esta CVE en particular. Un portavoz dijo a Threatpost que cualquier actualización de las versiones no 8.1 probablemente no está relacionada con el CVE 2021-3064.
111021 17:28 ACTUALIZACIÓN: Palo Alto ha actualizado su aviso para aclarar que este fallo no afecta a otras versiones de PAN-OS 8.1 anteriores a la 8.1.17.
111021 17:30 ACTUALIZACIÓN: Palo Alto Network ha informado a Randori de que el número de dispositivos afectados se acerca a los 10.000.
El equipo de ataque de Randori encontró el día cero hace un año, desarrolló un exploit que funcionaba y lo utilizó contra clientes de Randori (con autorización) durante el año pasado.
No entre en pánico, pero haga un parche
Randori ha coordinado la divulgación con PAN. El miércoles, PAN publicó un aviso y una actualización para parchear la CVE-2021-3064.
Randori también tiene previsto publicar más detalles técnicos el miércoles, «una vez que el parche haya tenido tiempo suficiente para empaparse», y emitirá actualizaciones en @RandoriAttack en Twitter, según su escrito.
Aunque Randori se reserva 30 días antes de publicar la información técnica más detallada que suele proporcionar en sus notas de ataque -un periodo de gracia para que los clientes puedan parchear o actualizar-, sí que ha dado algunos detalles de más alto nivel.
Detalles de la cadena de vulnerabilidad
Randori dijo que CVE-2021-3064 es un desbordamiento de búfer que se produce al analizar la entrada suministrada por el usuario en una ubicación de longitud fija en la pila. Para llegar al código problemático, los atacantes tendrían que utilizar una técnica de contrabando HTTP, explicaron los investigadores. De lo contrario, no se puede acceder a él desde el exterior.
El contrabando de peticiones HTTP es una técnica para interferir en la forma en que un sitio web procesa las secuencias de peticiones HTTP que se reciben de uno o varios usuarios.
Este tipo de vulnerabilidades suelen ser críticas, ya que permiten a un atacante saltarse los controles de seguridad, obtener acceso no autorizado a datos sensibles y comprometer directamente a otros usuarios de la aplicación. Un ejemplo reciente fue un fallo que apareció en febrero en Node.js, un entorno de ejecución JavaScript de código abierto y multiplataforma para el desarrollo de aplicaciones de red y del lado del servidor que se utiliza en IBM Planning Analytics.
La explotación del desbordamiento de búfer realizada junto con el contrabando HTTP produce un RCE bajo los privilegios del componente afectado en el dispositivo de cortafuegos, según el análisis de Randori. El contrabando HTTP no recibió un identificador CVE, ya que Palo Alto Networks no lo considera un límite de seguridad, explicaron.
Para explotar el fallo, un atacante necesita acceder a la red del dispositivo en el puerto de servicio de GlobalProtect (puerto 443 por defecto).
«Como el producto afectado es un portal VPN, este puerto suele ser accesible a través de Internet», señalaron los investigadores.
Los cortafuegos virtuales son especialmente vulnerables, dado que carecen de la función de aleatorización de la disposición del espacio de direcciones (ASLR), señalaron los investigadores. «En los dispositivos con ASLR activado (que parece ser el caso de la mayoría de los dispositivos de hardware), la explotación es difícil pero posible. En los dispositivos virtualizados (cortafuegos de la serie VM), la explotación es significativamente más fácil debido a la falta de ASLR y Randori espera que los exploits públicos salgan a la luz.» Cuando se trata de ciertas versiones de dispositivos duros con CPUs de plano de gestión basadas en MIPS, los investigadores de Randori no han explotado el desbordamiento de búfer para lograr la ejecución controlada de código, dijeron, «debido a su arquitectura big endian». Pero señalaron que «el desbordamiento es alcanzable en estos dispositivos y puede ser explotado para limitar la disponibilidad de los servicios.»
Se refirieron a la serie VM de PAN de cortafuegos virtualizados, desplegados en entornos de computación en la nube pública y privada y con tecnología de VMware, Cisco, Citrix, KVM, OpenStack, Amazon Web Services, Microsoft y Google como puertas de enlace perimetrales, puntos de terminación de VPN IPSec y puertas de enlace de segmentación. PAN describe los cortafuegos como diseñados para evitar que las amenazas pasen de una carga de trabajo a otra.
Randori dijo que el fallo afecta a los cortafuegos que ejecutan la serie 8.1 de PAN-OS con GlobalProtect habilitado (específicamente, como se señaló anteriormente, las versiones < 8.1.17). Los investigadores del equipo rojo de la empresa han probado la explotación de la cadena de vulnerabilidad y han conseguido un RCE en productos de cortafuegos tanto físicos como virtuales.
No hay ningún código de explotación público disponible -todavía- y hay tanto parches de PAN como firmas de prevención de amenazas disponibles para bloquear la explotación, dijo Randori.
Código de Explotación Seguro
Randori señaló que es probable que salga a la luz un código de explotación público, dado que los dispositivos VPN son un objetivo apetitoso para los actores maliciosos.
El director de tecnología de Randori, David «moose» Wolpoff, ha escrito para Threatpost, explicando por qué le encanta forzar los dispositivos de seguridad y las VPN: Al fin y al cabo, ofrecen una cerradura muy práctica para que los atacantes puedan forzarla y, así, invadir una empresa.
El ataque del ransomware Colonial Pipeline es un ejemplo de ello, escribió Wolpoff recientemente: Como dijo el director general de Colonial a un comité del Senado en junio (PDF), los atacantes pudieron comprometer la empresa a través de una cuenta VPN heredada.
«La cuenta carecía de autenticación multifactor (MFA) y no estaba en uso activo dentro de la empresa», señaló Wolpoff. Es «un escenario que probablemente no sea único para el oleoducto de combustible», añadió.
Cómo pueden los clientes de Palo Alto mitigar la amenaza
Parchear lo antes posible es, por supuesto, la principal recomendación, pero Randori ofreció estas opciones de mitigación si eso no es posible:
- Habilite las firmas para los ID de amenaza únicos 91820 y 91855 en el tráfico destinado a las interfaces de portal y puerta de enlace de GlobalProtect para bloquear los ataques contra esta vulnerabilidad.
- Si no utiliza la parte de GlobalProtect VPN del cortafuegos de Palo Alto, desactívela.
- Para cualquier aplicación orientada a Internet:
- Desactive o elimine las funciones que no se utilicen
- Restrinja las IP de origen permitidas para conectarse a los servicios
- Aplique controles por capas (como WAF, cortafuegos, controles de acceso, segmentación)
- Supervise los registros y las alertas del dispositivo
La «historia más grande»: Uso ético de un Zero Day
Randori señaló que Wolpoff ha escrito en su blog por qué los días cero son esenciales para la seguridad, y que el día cero de Palo Alto Networks es un buen ejemplo.
«A medida que crece la amenaza de los días cero, cada vez más organizaciones piden formas realistas de prepararse y entrenarse contra amenazas desconocidas, lo que se traduce en la necesidad de un uso ético de los días cero», dijeron los investigadores en su escrito. «Cuando un defensor no puede parchear un fallo, debe confiar en otros controles. Los exploits reales les permiten validar esos controles, y no simplemente de manera artificiosa. Los exploits reales permiten a los clientes enfrentarse a la misma clase de amenazas a las que ya se enfrentan».