Des chercheurs ont mis au point un exploit permettant d'obtenir l'exécution de code à distance (RCE) via une vulnérabilité dans une appliance de sécurité de Palo Alto Networks (PAN), laissant potentiellement 10 000 pare-feu vulnérables avec leurs produits exposés à l'Internet.

La faille, connue sous le nom de CVE 2021-3064 et ayant un score de gravité CVSS 9,8 sur 10, se trouve dans le pare-feu GlobalProtect de PAN. Elle permet un RCE non authentifié sur plusieurs versions de PAN-OS 8.1 antérieures à 8.1.17, sur les pare-feu physiques et virtuels.

Les chercheurs de Randori ont déclaré dans leur blog que si un attaquant réussit à exploiter cette faiblesse, il peut obtenir un shell sur le système ciblé, accéder à des données de configuration sensibles, extraire des informations d'identification et plus encore.

"Une fois qu'un attaquant a le contrôle du pare-feu, il aura une visibilité sur le réseau interne et pourra procéder à des déplacements latéraux."

Randori a déclaré que CVE-2021-3064 est un dépassement de tampon qui se produit lors de l'analyse des données fournies par l'utilisateur dans un emplacement de longueur fixe sur la pile. Pour atteindre le code problématique, les attaquants doivent utiliser une technique de contrebande HTTP, expliquent les chercheurs. Sinon, il n'est pas possible de l'atteindre de l'extérieur.

Pour exploiter le bug, un attaquant a besoin d'un accès réseau au dispositif sur le port de service GlobalProtect (port 443 par défaut).

"Comme le produit affecté est un portail VPN, ce port est souvent accessible sur Internet", ont souligné les chercheurs.

Randori a déclaré que le bug affecte les pare-feu exécutant la série 8.1 (versions < 8.1.17) de PAN-OS avec GlobalProtect activé. L'application de correctifs dès que possible est bien sûr la première recommandation, mais Randori a proposé ces options d'atténuation si cela n'est pas possible :

· Activez les signatures pour les Unique Threat IDs 91820 et 91855 sur le trafic destiné aux interfaces du portail et de la passerelle GlobalProtect pour bloquer les attaques contre cette vulnérabilité ;

· Si vous n'utilisez pas la partie VPN GlobalProtect du pare-feu Palo Alto, désactivez-la ;

· Pour toute application tournée vers Internet :

o Désactivez ou supprimez toutes les fonctionnalités inutilisées ;

o Restreignez les IP d'origine autorisées à se connecter aux services ;

o Appliquez des contrôles en couches (tels que WAF, pare-feu, contrôles d'accès, segmentation) ;

o Surveillez les journaux et les alertes de l'appareil.