È stata identificata una vulnerabilità zero-day nei firewall di Palo Alto Networks con l’utilizzo di GlobalProtect VPN che potrebbe essere sfruttata da un utente (malintenzionato) non autorizzato per eseguire codice arbitrario, su dispositivi vulnerabili, con privilegi di superuser.
Una volta ottenuto questo accesso, l’attaccante è da considerarsi parte integrante di quella rete, con tutti i danni che ne conseguono: avrà piena visibilità sulla LAN e potrà muoversi lateralmente per compiere le sue malefatte.
In particolare, se un attaccante riesce a sfruttare con successo la debolezza nei firewall di Palo Alto può ottenere una shell sul sistema mirato, accedere a dati di configurazione sensibili, estrarre credenziali e altro ancora.
Indice degli argomenti
Vulnerabilità nei firewall Palo Alto: i dettagli
Il problema di sicurezza (tracciato come CVE-2021-3064) ha ottenuto un punteggio di 9.8 sulla scala CVSS (che per definizione ha come massimo 10) e interessa le versioni del sistema operativo PAN-OS dalla 8.1. fino alla 8.1.17.
Il punteggio elevato ci dà la dimensione del problema: per comprenderne concretamente le possibili conseguenze, ci basti pensare che i ricercatori della società di sicurezza Randori (che hanno identificato la vulnerabilità lo scorso 26/10/2020), durante le loro analisi, hanno scansionato la rete Internet trovando un elevato numero di istanze vulnerabili che espongono oltre 70.000 dispositivi direttamente connessi a Internet (anche se da Palo Alto hanno fatto sapere che il numero di dispositivi esposti dovrebbe aggirarsi attorno ai 10.000).
“La catena di vulnerabilità consiste in un metodo per aggirare i controlli effettuati da un server web esterno e un buffer overflow basato su stack. L’uso di questa catena di vulnerabilità è stato dimostrato sperimentalmente e consente di eseguire codice in remoto su firewall sia fisici che virtuali”, hanno spiegato gli esperti di Randori.
Aaron Portnoy, Chief Scientist di Randori ha spiegato che nell’ottobre 2020 il suo team è stato incaricato di indagare su una vulnerabilità nella VPN del portale GlobalProtect. A novembre 2020, il suo team aveva scoperto questa vulnerabilità (CVE-2021-3064) e avviato un abuso autorizzato dai client di Randori: così facendo, i ricercatori del team sono arrivati con successo su uno dei loro client attraverso Internet.
L’errore è correlato a un buffer overflow della memoria che si verifica durante le operazioni di analisi dell’input fornito dall’utente.
Per ottenere accesso a queste informazioni e sfruttare con successo la vulnerabilità, l’attaccante deve quindi utilizzare la tecnica HTTP Request Smuggling (letteralmente: contrabbando di richieste HTTP) e avere accesso di rete al dispositivo tramite la porta 443 del servizio GlobalProtect (un sistema particolarmente avanzato di VPN per mettere in sicurezza l’accesso remoto).
Per chiarezza di informazione, ricordiamo che la tecnica HTTP Request Smuggling consente di interferire col modo in cui un sito web elabora sequenze di richieste HTTP ricevute da uno o più utenti. Questo consente ad un attaccante di aggirare i controlli di sicurezza, ottenere un accesso non autorizzato a dati sensibili e compromettere direttamente altri utenti dell’applicazione.
È importante sottolineare, inoltre, che l’abuso di richieste HTTP si basa sulle differenze nel trattamento dei dati da uno o più dispositivi HTTP (cache server, server proxy, firewall ecc.) situati tra l’utente e il server web. La tecnica HTTP Request Smuggling consente vari tipi di attacchi: cache poisoning, session hijacking, cross-site scripting e fornisce anche la possibilità di aggirare la protezione firewall.
Come risulta dai risultati delle analisi dei ricercatori Randori, lo sfruttamento del buffer overflow correlato alla vulnerabilità nei firewall di Palo Alto insieme alla tecnica HTTP Request Smuggling consentono l’esecuzione remota di codice arbitrario con i privilegi del componente interessato sul dispositivo esposto.
La vulnerabilità è grave, ma c’è l’aggiornamento
Alla luce di quanto visto finora, si raccomanda ai responsabili IT delle organizzazioni interessate di correggere la vulnerabilità il prima possibile tramite gli aggiornamenti ufficiali già rilasciati da Palo Alto Networks.
Inoltre, come ulteriore misura di mitigazione della vulnerabilità, è consigliabile abilitare le firme delle minacce per gli ID 91820 e 91855 nel traffico destinato al portale GlobalProtect e alle interfacce del gateway.
Segnaliamo, infine, che i dettagli tecnici di questa vulnerabilità (CVE-2021-3064) nei firewall Palo Alto non verranno rilasciati per i prossimi 30 giorni: questo per consentire alle organizzazioni esposte di correre ai ripari e impedire agli aggressori di utilizzare la vulnerabilità in attacchi reali.
