Pour que les attaquants réussissent à cibler les pare-feu de Palo Alto, ils doivent surmonter plusieurs obstacles. Néanmoins, la vulnérabilité est connue sous le nom de « critique » (score CVSS 9,8 sur 10). Une version du système d’exploitation PAN-OS sécurisée contre ces attaques est disponible.
Selon un message d’avertissement, seule la version PAN-OS 8.1 est concernée par la vulnérabilité (CVE-2021-3064). Les clients de Prisma Access ne doivent pas se sentir menacés par cette situation. Le site Version 8.1.17 est censé contenir des correctifs de sécurité. Toutes les éditions précédentes sont vulnérables, selon les développeurs. Palo Alto déclare qu’il n’a pas encore observé d’attaques.
Sommaire
Vulnérabilité de la racine
Cependant, si une version vulnérable est utilisée, le portail GlobalProtect ou l’interface de la passerelle doivent encore être actifs pour que les attaquants puissent attaquer la vulnérabilité, explique Palo Alto. Le rapport ne précise pas si c’est le cas par défaut. Les administrateurs peuvent vérifier l’état des paramètres via l’interface web sous Réseau/GlobalProtect. En outre, les attaques ne doivent être possibles qu’à partir du réseau. L’authentification n’est pas censée être nécessaire.
Dans un document, les chercheurs en sécurité de Randori déclarent que les attaquants peuvent envoyer des requêtes préparées aux systèmes en raison de vérifications manquantes afin de déclencher une erreur de mémoire (dépassement de tampon). Si cela fonctionne, les attaquants devraient être en mesure d’exécuter leur propre code avec les droits du composant affecté. D’après la description du message d’avertissement, cela peut même fonctionner avec les droits de root. Si c’est le cas, on considère généralement que les dispositifs sont complètement compromis.
[UPDATE 11.11.2021 16:05 Uhr]
La vulnérabilité est retenue pendant 1 an ?
Randori affirme avoir découvert la vulnérabilité dès novembre 2020. En décembre 2020, ils affirment avoir utilisé la vulnérabilité sur leur plateforme Red Team pour des tests de sécurité. Ce faisant, ils parlent d’un « usage approuvé ».
Ce n’est qu’en septembre 2021 qu’ils ont signalé la vulnérabilité à Palo Alto, qui a publié le correctif en novembre.