什么是CVE-2021-3064 它如何影响我的firewall?
13600
Created On 11/16/21 20:21 PM - Last Modified 05/15/23 09:35 AM
Question
什么是CVE-2021-3064 它如何影响我的firewall?
Environment
- 帕洛阿尔托Firewall.
- GlobalProtect 配置
- 威胁日志
- CVE-2021-3064
Answer
CVE-2021-3064PAN-OS : 中的内存损坏漏洞GlobalProtect门户和网关接口,是一个缓冲区溢出漏洞PAN-OS8.1.16 及更早版本。如果漏洞利用成功地应用于易受攻击的firewall攻击者可以在目标上获得 shellfirewall并可能以 root 权限执行任意代码。这将允许攻击者访问敏感的配置数据、提取凭据等等。Palo Alto Networks 估计大约有 10,000 个受影响的系统。
“兰多利说CVE-2021-3064 是在将用户提供的输入解析到堆栈上的固定长度位置时发生的缓冲区溢出。 要获取有问题的代码,攻击者必须使用HTTP走私技术,研究人员解释道。 否则,它无法从外部访问。” 威胁帖
攻击者必须有权访问设备GlobalProtect. 存在GlobalProtect是一个VPN,那么通常可以访问互联网。
如果您在11 月 17 日,这意味着您是我们易受伤害的客户之一PAN-OS版本。 此信息摘自由维护的数据库IT收集一些最小数据,如内容版本和PAN-OS版本每次firewall检查更新。 我们查询了具有GP许可证,运行PAN-OS< 8.1.17 和签名之前的内容版本。 然后我们查找注册详细信息以查找电子邮件联系人。 如果firewall升级后没有检查更新,然后那些仍然被标记并发送了一封电子邮件。
Q : 将要MFA防止中描述的漏洞利用CVE-2021-3064?
A : 不
补救:
- 升级到PAN-OS9.1.x 或更高版本。请记住 9.0.x 和 10.0.x
- 如果无法升级,启用无效HTTP请求消息检测(91820 和 91855)将增加一层保护。
- 如果未使用 Global Protect,请确保已将其禁用。
Additional Information
参考:
https://security.paloaltonetworks.com/CVE-2021 -3064
https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/
https://www.tenable.com/cve/CVE-2021 -3064