Was ist CVE-2021-3064 und wie kann es sich auf meine firewall?

Was ist CVE-2021-3064 und wie kann es sich auf meine firewall?

13650
Created On 11/16/21 20:21 PM - Last Modified 05/15/23 09:35 AM


Question


Was ist CVE-2021-3064 und wie kann es sich auf meine firewall?

Environment


  • Palo Alto Firewall.
  • GlobalProtect konfiguriert
  • Bedrohungsprotokoll
  • CVE-2021-3064

Answer


CVE-2021-3064 PAN-OS: Speicherbeschädigungs-Schwachstelle in Portal- und Gateway-Schnittstellen ist eine Pufferüberlauf-Schwachstelle in GlobalProtect PAN-OS 8.1.16 und früher.Wird der Exploit erfolgreich auf eine Schwachstelle firewall angewendet, kann sich ein Angreifer eine Shell auf dem Zielobjekt firewall verschaffen und möglicherweise beliebigen Code mit Root-Rechten ausführen.Dies würde es einem Angreifer ermöglichen, auf sensible Konfigurationsdaten zuzugreifen, Anmeldeinformationen zu extrahieren und vieles mehr.Palo Alto Networks schätzt, dass es etwa 10.000 betroffene Systeme gibt.

"Randori sagte, dass -3064 ein Pufferüberlauf ist, CVE-2021der beim Parsen von benutzergenerierten Eingaben an einem Speicherort mit fester Länge auf dem Stapel auftritt. Um an den problematischen Code zu gelangen, müssten Angreifer eine HTTP Schmuggeltechnik anwenden, erklärten die Forscher. Sonst ist es von außen nicht erreichbar." Threatpost

Ein Angreifer muss Zugriff auf ein Gerät auf GlobalProtect. Sein GlobalProtect ist ein , dann ist in der Regel ein VPNInternetzugang verfügbar.

Wenn Sie am 17. November eine E-Mail erhalten haben, bedeutet dies, dass Sie einer unserer Kunden mit anfälligen PAN-OS Versionen waren. Diese Informationen wurden aus einer Datenbank abgerufen, die von verwaltet wird und IT bei jeder Überprüfung nach Updates einige Mindestdaten wie Inhaltsversion und PAN-OS Versionen firewall sammelt. Wir haben Geräte abgefragt, die über eine GP Lizenz verfügen, auf denen < 8.1.17 und die Inhaltsversion vor den Signaturen ausgeführt PAN-OS werden. Dann haben wir die Registrierungsdetails nachgeschlagen, um nach E-Mail-Kontakten zu suchen. Wenn seit firewall dem Upgrade nicht nach Updates gesucht wurde, wurden diese immer noch markiert und eine E-Mail gesendet.

Q Wird MFA der in CVE-2021-3064 beschriebene Exploit verhindert?
A: Keine

Abhilfe:
  1. Führen Sie ein Upgrade auf PAN-OS 9.1.x oder höher durch.Beachten Sie, dass 9.0.x und 10.0.x
  2. Wenn ein Upgrade nicht möglich ist, wird durch Aktivieren der Erkennung ungültiger HTTP Anforderungsnachrichten (91820 und 91855) eine Schutzebene hinzugefügt.
  3. Wenn Global Protect nicht verwendet wird, stellen Sie sicher, dass es deaktiviert ist.

 

Additional Information


Referenzen:
https://security.paloaltonetworks.com/CVE-2021-3064
https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/
https://www.tenable.com/cve/CVE-2021-3064
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MLeCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language