Palo Alto GlobalProtect -käyttöliittymissä kriittinen haavoittuvuus

Palo Alto julkaisi korjauksen GlobalProtect -haavoittuvuuteen CVE-2021-3064, joka voi mahdollistaa hyökkääjälle palomuurin haltuunoton. Haavoittuvuus koskee versioita PAN-OS 8.1 -> 8.1.16.

Muistin korruptoitumisen aiheuttava haavoittuvuus mahdollistaa hyökkääjälle järjestelmän prosessien häiritsemisen ja potentiaalisesti mielivaltaisen ohjelmakoodin suorittamisen pääkäyttäjänä. Hyökkääjällä tulee olla pääsy verkosta GlobalProtect-käyttöliittymään, jotta haavoittuvuuden hyväksikäyttö on mahdollista. Haavoittuvuus on korjattu tuoreessa versiossa PAN-OS 8.1.17. Organisaatioiden tulee ottaa huomioon, että PAN-OS 8.1. tuki loppuu maaliskuun 1. päivä 2022.

Haavoittuvuuden löytäneet tutkijat ovat kehittäneet luotettavan tavan hyväksikäyttää haavoittuvuutta (Proof of Concept). Tutkijat aikovat julkaista tarkempia tietoja hyväksikäyttömenetelmästä 30 päivän kuluttua. Käytännössä hyväksikäyttö mahdollistaa haavoittuvan laitteen haltuunoton. Haltuunoton jälkeen laitteelta käsin on mahdollista pyrkiä jatkamaan tunkeutumista syvemmälle organisaation sisäverkkoon.

Haavoittuvuus ei edellytä toimenpiteitä tavalliselta loppukäyttäjältä, vaan toimenpiteitä odotetaan organisaatioiden järjestelmien ylläpitäjiltä.

Palo Alto julkaisi samalla myös muita korjauksia tuotteidensa haavoittuvuuksiin ja voit tarkistaa ne täältä (ulkoinen linkki)

Haavoittuvuuden kohde

Haavoittuvuus koskee versioita PAN-OS 8.1 -> 8.1.16.

Mistä on kysymys?

Asenna tuorein päivitys PAN-OS 8.1.17. ja ota huomioon, että PAN-OS 8.1 tuki loppuu maaliskuussa 2022.

Palo Alton tiedote haavoittuvuudesta (ulkoinen linkki)

Haavoittuvuuden löytäjän blogi aiheesta (ulkoinen linkki)

Palo Alton tuetut PAN-OS -versiot (ulkoinen linkki)

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.