IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les chercheurs attendent 12 mois pour signaler une vulnérabilité dont le degré de gravité est de 9,8 sur 10,
Environ 10 000 serveurs d'entreprise utilisant le VPN concernés

Le , par Bruno

29PARTAGES

10  0 
Les dispositifs VPN sont des cibles attrayantes pour les acteurs malveillants. Environ 10 000 serveurs d'entreprise utilisant le VPN GlobalProtect de Palo Alto Networks ont été présenté comme vulnérables à un bogue de débordement de tampon qui a été corrigé seulement 12 mois après la découverte. La vulnérabilité identifiée par la CVE-2021-3064 A un degré de gravité est de 9,8 sur 10 et se produit lors de l'analyse d'une entrée fournie par l'utilisateur dans un emplacement de longueur fixe sur la pile. Une preuve de concept de l'exploit développé par les chercheurs de Randori démontre les dommages considérables qui peuvent en résulter.

« Cette vulnérabilité affecte nos pares-feux utilisant le VPN GlobalProtect et permet une exécution à distance du code non authentifiée sur les installations vulnérables du produit. La CVE-2021-3064 affecte plusieurs versions de PAN-OS 8.1 antérieures à 8.1.17 et nous avons trouvé de nombreuses instances vulnérables exposées sur des actifs tournés vers l'Internet, soit plus de 10 000 actifs », a déclaré Randori.

Le chercheur indépendant Kevin Beaumont a déclaré que les recherches Shodan qu'il a effectuées indiquent qu'environ la moitié de toutes les instances GlobalProtect vues par Shodan étaient vulnérables.

Le débordement se produit lorsque le logiciel analyse les données fournies par l'utilisateur dans un emplacement de longueur fixe sur la pile. Il est impossible d'accéder au code bogué en externe sans utiliser ce que l'on appelle le HTTP smuggling, une technique d'exploitation qui interfère avec la manière dont un site Web traite les séquences de requêtes HTTP. Les vulnérabilités apparaissent lorsque le front-end et le back-end d'un site Web interprètent différemment les limites d'une requête HTTP et que l'erreur les désynchronise. L'exploitation de ces deux éléments permet l'exécution de code à distance sous les privilèges du composant affecté sur le dispositif de pare-feu.

Voici, ci-dessous, les principales conclusions de la découverte et des recherches de l'équipe Randori concernant cette faille :

La chaîne de vulnérabilité consiste en une méthode de contournement des validations effectuées par un serveur web externe (HTTP smuggling) et un dépassement de tampon basé sur la pile.
Elle affecte les pare-feu Palo Alto utilisant la série 8.1 de PAN-OS avec GlobalProtect activé (spécifiquement les versions < 8.1.17).
L'exploitation de la chaîne de vulnérabilité a été prouvée et permet l'exécution de code à distance sur les produits de pare-feu physiques et virtuels.

Il n'existe pas pour l'instant de code d'exploitation disponible publiquement.

Des correctifs sont disponibles auprès du fournisseur.

Les signatures PAN Threat Prevention sont également disponibles (IDs 91820 et 91855) pour bloquer l'exploitation de ce problème.

Afin d'exploiter cette vulnérabilité, un attaquant doit avoir un accès réseau au dispositif sur le port de service GlobalProtect (port 443 par défaut). Comme le produit concerné est un portail VPN, ce port est souvent accessible sur Internet. Sur les appareils dont la distribution aléatoire de l'espace d'adressage (ASLR)70 est activée (ce qui semble être le cas sur plupart des appareils), l'exploitation est difficile mais possible.

Sur les dispositifs virtualisés (pare-feu VM-series), l'exploitation est nettement plus facile en raison de l'absence d'ASLR et Randori s'attend à ce que des exploits publics fassent surface. Les chercheurs de Randori n'ont pas exploité le débordement de tampon pour aboutir à une exécution de code contrôlée sur certaines versions de dispositifs matériels avec des CPU de plan de gestion basés sur MIPS en raison de leur architecture big endian, bien que le débordement soit accessible sur ces dispositifs et puisse être exploité pour limiter la disponibilité des services.

Randori recommande aux organisations concernées d'appliquer les correctifs fournis par PAN. De plus, PAN a mis à disposition des signatures qui peuvent être activées pour contrecarrer l'exploitation pendant que les organisations planifient la mise à jour du logiciel. Pour les organisations qui n'utilisent pas la fonction VPN dans le cadre du pare-feu, nous recommandons de désactiver GlobalProtect.

Source : Randori

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Des cybercriminels exploitent activement la faille critique dans Log4J : plus de 840 000 attaques ont été détectées, le spectre d'un scénario rappelant Heartbleed fait surface

85 % de la population déclarent connaître les VPN en 2021 contre 75 % en 2020, mais l'utilisation des services a légérement diminué, passant de 49 % en 2020 à 41 % en 2021, selon SecurityOrg

86 % des comptes Google Cloud piratés sont utilisés pour du cryptomining illégal, les autres attaques consistant à effectuer un balayage des ports d'autres cibles sur Internet, selon AtlasVPN

84 % des professionnels de la sécurité et 80 % des autres travailleurs se sentent épuisés, ce qui entraîne un sérieux recul des protocoles de sécurité, selon une étude de 1Password

Une erreur dans cette actualité ? Signalez-le nous !