Qu’est-ce CVE-2021que -3064 et comment peut-il affecter mon firewall?
13698
Created On 11/16/21 20:21 PM - Last Modified 05/15/23 09:35 AM
Question
Qu’est-ce CVE-2021que -3064 et comment peut-il affecter mon firewall?
Environment
- Palo Alto Firewall.
- GlobalProtect configuré
- Journal des menaces
- CVE-2021-3064
Answer
CVE-2021-3064 PAN-OS: La vulnérabilité de corruption de mémoire dans les interfaces de portail et de passerelle est une vulnérabilité de débordement de la mémoire tampon dans GlobalProtect PAN-OS les versions 8.1.16 et antérieures.Si l’exploit est utilisé avec succès sur un vulnérable firewall , un attaquant peut obtenir un shell sur la cible firewall et potentiellement exécuter du code arbitraire avec des privilèges root.Cela permettrait à un attaquant d’accéder à des données de configuration sensibles, d’extraire des informations d’identification et bien plus encore.Palo Alto Networks estime qu’il y a environ 10 000 systèmes affectés.
Randori a déclaré que CVE-2021-3064 est un débordement de mémoire tampon qui se produit lors de l’analyse de l’entrée fournie par l’utilisateur dans un emplacement de longueur fixe sur la pile. Pour arriver au code problématique, les attaquants devraient utiliser une technique de HTTP contrebande, ont expliqué les chercheurs. Sinon, il n’est pas accessible de l’extérieur. Threatpost
Un attaquant doit avoir accès à un appareil sur GlobalProtect. Être GlobalProtect est un VPN, alors l’accès Internet est généralement disponible.
Si vous avez reçu un e-mail le 17 novembre, cela signifie que vous étiez l’un de nos clients avec des versions vulnérables PAN-OS . Ces informations ont été extraites d’une base de données maintenue par IT qui collecte des données minimales telles que la version et les versions du contenu chaque PAN-OS fois que les mises à jour sont firewall vérifiées. Nous avons interrogé les appareils disposant d’une GP licence, exécutant PAN-OS < 8.1.17 et la version de contenu avant les signatures. Ensuite, nous avons recherché les détails d’inscription pour rechercher des contacts par e-mail. Si le n’a pas vérifié les firewall mises à jour depuis leur mise à niveau, celles-ci ont toujours été signalées et un e-mail a été envoyé.
Q: Empêchera-t-il l’exploit décrit dans CVE-2021-MFA3064 ?
A: Aucun
remède :
- Effectuez une mise à niveau vers PAN-OS la version 9.1.x ou ultérieure.Gardez à l’esprit que 9.0.x et 10.0.x
- Si une mise à niveau n’est pas possible, l’activation de la détection des messages de demande non valides HTTP (91820 et 91855) ajoutera une couche de protection.
- Si Global Protect n'est pas utilisé, assurez-vous qu'il est désactivé.
Additional Information
Références :
https://security.paloaltonetworks.com/CVE-2021
-3064 https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/
https://www.tenable.com/cve/CVE-2021-3064