Уязвимость в межсетевых экранах Palo Alto Networks позволяет удаленно выполнять код

[Artifact]

Проблема получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

В межсетевых экранах Palo Alto Networks, использующих GlobalProtect VPN, была обнаружена уязвимость, которая может быть проэксплуатирована неавторизованным злоумышленником для выполнения произвольного кода на уязвимых устройствах с привилегиями суперпользователя.
Проблема (CVE-2021-3064) получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.
«Цепочка уязвимостей состоит из метода обхода проверок, сделанных внешним web-сервером, и переполнения буфера на основе стека. Использование цепочки уязвимостей было доказано и позволяет удаленно выполнять код как на физических, так и на виртуальных межсетевых экранах», — пояснили эксперты из ИБ-фирмы Randori, обнаружившие уязвимость.
Уязвимость связана с переполнением буфера, которое происходит при синтаксическом анализе вводимых пользователем данных. Для успешной эксплуатации уязвимости злоумышленнику необходимо использовать метод под названием HTTP Request Smuggling («Контрабанда HTTP-запросов»), а также иметь сетевой доступ к устройству через порт 443 службы GlobalProtect.
Пользователям настоятельно рекомендуется как можно скорее исправить уязвимость. В качестве меры по предотвращению эксплуатации уязвимости Palo Alto Networks рекомендует включить сигнатуры угроз для идентификаторов 91820 и 91855 в трафике, предназначенном для портала GlobalProtect и интерфейсов шлюза.
Технические подробности CVE-2021-3064 не будут разглашаться в течение 30 дней, чтобы злоумышленники не использовали уязвимость для проведения атак.
HTTP Request Smuggling основывается на различиях в обработке данных одного или нескольких HTTP-устройств (кэш-сервер, прокси-сервер, межсетевой экран и т.п.) находящихся между пользователем и web-сервером. Техника HTTP Request Smuggling позволяет провести различные виды атак — отравление кэша, похищение сеанса, межсайтовое выполнение сценариев, а также предоставляет возможность обойти защиту межсетевого экрана.