Palo Alto łata lukę zero-day w produkcie Firewall

Inni analitycy bezpieczeństwa odkryli lukę w zaporach sieciowych PanOS produkowanych przez Palo Alto Networks. Zespół badawczy, który odkrył lukę, współpracuje z firmą zajmującą się bezpieczeństwem Randori.

Zespół Randori opracował metodologię i aktywny exploit, który umożliwił im uzyskanie możliwości zdalnego wykonywania kodu na platformie firewall Palo Alto. Luka została skodyfikowana i skatalogowana jako CVE 2021-3064 i otrzymała wyjątkowo wysoką ocenę ważności wynoszącą 9,8 na maksymalnie 10 punktów.

Chociaż początkowo sądzono, że luka umożliwia zdalne wykonanie kodu w wielu wersjach PanOS Palo Alto, później Palo Alto wyjaśnił, że luka dotyczyła tylko PanOS 8.1, a dokładniej wersji wcześniejszych niż 8.1.17.

Przybliżona liczba systemów, których dotyczy problem, została również zmniejszona z początkowych niedokładnych szacunków 70 000 do około 10 000 urządzeń, po tym, jak Palo Alto dostarczył dodatkowe informacje.

Luka została już załatana przez Palo Alto i oczekuje się, że nowa aktualizacja zostanie w pełni wdrożona i zastosowana w ciągu najbliższych 30 dni. Po tym okresie Randori przedstawi pełniejsze ujawnienie charakteru załatanej luki.

Jak dotąd badacze ujawnili, że luka umożliwia wykonanie kodu na poziomie powłoki i nadużywa stanu przepełnienia bufora, który ma miejsce, gdy system analizuje dane wejściowe użytkownika w określonej części stosu pamięci. Zanim potencjalny cyberprzestępca byłby w stanie to wykorzystać, musiałby najpierw skorzystać z przemytu HTTP. Jest to jedyny sposób na uzyskanie dostępu do możliwej do wykorzystania luki przepełnienia bufora.

Randori najprawdopodobniej ujawni pełne szczegóły i konkretny kod użyty do stworzenia exploita, gdy użytkownicy zdążą zaktualizować swoje konfiguracje.