Palo Alto retter nul-dages sårbarhed i firewall-produkt

Andre sikkerhedsforskere opdagede en sårbarhed i PanOS firewalls produceret af Palo Alto Networks. Forskerholdet, der opdagede sårbarheden, arbejder sammen med sikkerhedsfirmaet Randori.

Randori-teamet udviklede en metode og en aktiv udnyttelse, der gjorde det muligt for dem at opnå fjernudførelse af kode på Palo Alto firewall-platformen. Sårbarheden er blevet kodificeret og katalogiseret som CVE 2021-3064 og har modtaget en ekstrem høj alvorlighedsgrad på 9,8 ud af maksimalt 10 point.

Selvom man oprindeligt mente, at sårbarheden tillod fjernudførelse af kode på flere versioner af Palo Altos PanOS, præciserede Palo Alto senere, at sårbarheden kun påvirkede PanOS 8.1 og mere specifikt versioner tidligere end 8.1.17.

Det omtrentlige antal af berørte systemer blev også skrumpet fra et oprindeligt unøjagtigt estimat på 70.000 til kun omkring 10.000 enheder, efter at Palo Alto havde givet de yderligere oplysninger.

Sårbarheden er nu blevet rettet af Palo Alto, og den nye opdatering forventes at blive fuldt udrullet og anvendt inden for de næste 30 dage. Efter denne periode vil Randori give mere fyldestgørende oplysninger om arten af den patchede sårbarhed.

Hidtil har forskere afsløret, at sårbarheden tillader udførelse af kode på shell-niveau og misbruger en bufferoverløbstilstand, der finder sted, når systemet parser brugerinput til en specifik del af hukommelsesstakken. Før en potentiel trusselsaktør ville være i stand til at udnytte dette, ville de først skulle bruge ty til HTTP-smugling. Dette er den eneste måde at få adgang til den udnyttelige bufferoverløbssårbarhed.

Randori vil med stor sandsynlighed frigive de fulde detaljer og den specifikke kode, der bruges til at konstruere udnyttelsen, når brugerne har haft tid til at opdatere deres konfigurationer.