Palo Alto警告使用GlobalProtect Portal VPN的防火墙存在零日漏洞

Palo Alto Networks GlobalProtect VPN中发现了一个新的零日漏洞，未经验证的基于网络的攻击者可能会滥用该漏洞，以根用户权限在受影响的设备上执行任意代码

作为CVE-2021-3064（CVSS分数：9.8）进行跟踪，安全缺陷影响了早于PAN-OS 8.1.17的PAN-OS 8.1版本。马萨诸塞州的网络安全公司Randori被认为是发现和报告这一问题的功臣

“漏洞链由绕过外部web服务器（HTTP走私）的验证方法和基于堆栈的缓冲区溢出组成，”Randori研究人员说。“对漏洞链的攻击已被证实，允许在物理和虚拟防火墙产品上远程执行代码。”

然而，在一个令人不安的事件中，该公司表示，在2021年9月底向帕洛阿尔托网络披露这一漏洞之前，该公司已将这一漏洞作为其红色团队活动的一部分，持续了近10个月。与CVE-2021-3064相关的技术细节已被扣留30天，以防止威胁参与者滥用该漏洞进行真实世界的攻击

安全漏洞源于在解析用户提供的输入时发生的缓冲区溢出。成功利用该漏洞需要攻击者使用一种称为HTTP走私的技术对其进行串接，以在VPN安装上实现远程代码执行，更不用说通过GlobalProtect服务默认端口443对设备进行网络访问

“Palo Alto Networks GlobalProtect门户和网关接口中存在内存损坏漏洞，使未经验证的基于网络的攻击者能够中断系统进程，并可能以root权限执行任意代码，”Palo Alto Networks在一份独立咨询中说。“攻击者必须具有对GlobalProtect接口的网络访问权限才能利用此问题。”

鉴于VPN设备是恶意参与者的有利可图的目标，强烈建议用户迅速采取行动修补漏洞。作为一种解决方法，Palo Alto Networks建议受影响的组织对发送到GlobalProtect门户和网关接口的流量启用标识符91820和91855的威胁签名，以防止对CVE-2021-3064的任何潜在攻击