Palo Alto lost zero-day-kwetsbaarheid in firewallproduct op

Collega-beveiligingsonderzoekers ontdekten een kwetsbaarheid in de PanOS-firewalls van Palo Alto Networks. Het onderzoeksteam dat de kwetsbaarheid ontdekte, werkt samen met beveiligingsbedrijf Randori.

Het Randori-team ontwikkelde een methodologie en een actieve exploit waarmee ze externe code-uitvoeringsmogelijkheden op het Palo Alto-firewallplatform konden verkrijgen. De kwetsbaarheid is gecodificeerd en gecatalogiseerd als CVE 2021-3064 en heeft een extreem hoge ernstscore van 9,8 van maximaal 10 punten gekregen.

Hoewel aanvankelijk werd aangenomen dat de kwetsbaarheid het mogelijk maakte om op afstand code uit te voeren op meerdere versies van PanOS van Palo Alto, verduidelijkte Palo Alto later dat de kwetsbaarheid alleen PanOS 8.1 trof en meer specifiek versies eerder dan 8.1.17.

Het geschatte aantal getroffen systemen werd ook teruggebracht van een aanvankelijk onnauwkeurige schatting van 70.000 tot ongeveer 10.000 apparaten, nadat Palo Alto de aanvullende informatie had verstrekt.

De kwetsbaarheid is nu verholpen door Palo Alto en de nieuwe update zal naar verwachting binnen de komende 30 dagen volledig worden uitgerold en toegepast. Na deze periode zal Randori meer informatie verstrekken over de aard van de gepatchte kwetsbaarheid.

Tot nu toe hebben onderzoekers onthuld dat de kwetsbaarheid het uitvoeren van code op shell-niveau mogelijk maakt en misbruik maakt van een bufferoverloopstatus die plaatsvindt wanneer het systeem gebruikersinvoer in een specifiek deel van de geheugenstack parseert. Voordat een potentiële dreigingsactor hier misbruik van zou kunnen maken, zou hij eerst zijn toevlucht moeten nemen tot HTTP-smokkel. Dit is de enige manier om toegang te krijgen tot het misbruikbare bufferoverloopprobleem.

Randori zal zeer waarschijnlijk de volledige details en specifieke code vrijgeven die is gebruikt bij het construeren van de exploit, zodra gebruikers de tijd hebben gehad om hun configuraties bij te werken.

November 11, 2021