- El aviso corresponde a una vulnerabilidad crítica de corrupción de memoria de GlobalProtect VPN.
Fecha de publicación: 12/11/2021
Nivel de peligrosidad: CRÍTICO.
La Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT avisa de la publicación de una vulnerabilidad crítica en productos Palo Alto Networks. Esta conocida multinacional de ciberseguridad cuyos productos principales incluyen firewalls avanzados y ofertas basadas en la nube, ha notificado un aviso de seguridad sobre una vulnerabilidad crítica de corrupción de memoria en GlobalProtect VPN.
La vulnerabilidad fue descubierta, y comunicada a la compañía, por analistas de ciberseguridad de Randori, empresa especializada en evaluar la seguridad de plataformas y equipos.
Imagen 1: Tweet haciendo público el descubrimiento de la vulnerabilidad.
A continuación se muestra la información que se ha hecho pública sobre la vulnerabilidad:
- CVE-2021-3064: vulnerabilidad de corrupción de memoria en las interfaces del portal de Palo Alto Networks GlobalProtect. Una explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado interrumpir los procesos del sistema y ejecutar código arbitrario con privilegios de root, comprometiendo por completo el dispositivo vulnerable.
Para aprovechar esta vulnerabilidad, un atacante debe tener acceso al dispositivo en el puerto de servicio GlobalProtect (puerto predeterminado 443). En dispositivos con ASLR habilitado, que es la configuración habitual para dispositivos de hardware, la explotación es complicada pero factible. En dispositivos virtualizados, como los firewalls de la serie VM, la explotación es más sencilla. Desde el equipo de Randori han desarrollado un exploit funcional, que muestra el proceso de explotación de la vulnerabilidad reportada.
Imagen 2: Exploit creado por los investigadores de Randori.
Destacar que el equipo de Randori Attack realizó las pruebas, llegando a explotar con éxito la vulnerabilidad reportada, en los siguientes dispositivos:
- PAN-OS 8.1.16. ASLR habilitado en el firmware para este dispositivo.
- PAN-OS 8.1.15. ASLR deshabilitado en el firmware de este dispositivo.
Desde Palo Alto Networks no se tiene constancia de ninguna explotación maliciosa de esta vulnerabilidad por parte de agentes maliciosos.
Recursos afectados:
La vulnerabilidad reportada afecta a los siguientes dispositivos:
- Firewalls de Palo Alto que ejecutan la serie 8.1 de PAN-OS con GlobalProtect habilitado en versiones anteriores a PAN-OS 8.1.17.
Solución a la vulnerabilidad:
Paloalto ha corregido la vulnerabilidad con el lanzamiento de la versión:
Recomendaciones:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Como solución alternativa, Palo Alto Networks aconseja a las organizaciones afectadas que habiliten firmas de amenazas para los identificadores 91820 y 91855 en el tráfico destinado al portal GlobalProtect y las interfaces de puerta de enlace para evitar posibles ataques que aprovechen la vulnerabilidad. Para las organizaciones que no utilicen VPN como parte del firewall, se recomienda deshabilitar GlobalProtect.
Además de lo anterior, se sugiere seguir una serie de buenas prácticas, ya no sólo para dispositivos VPN, sino para cualquier activo de la empresa expuesto a Internet:
- Monitorización de registros y alertas de actividad anómala.
- Restringir direcciones IP de origen, si es posible.
- Aplicar controles en capas como un firewall de aplicaciones web, segmentación y controles de acceso.
Referencias:
Atentamente,
Equipo CCN-CERT
|
