Vulnerabilidad de corrupción de memoria en las interfaces de GlobalProtect Portal y Gateway

ANÁLISIS

Existe una vulnerabilidad de corrupción de memoria en las interfaces del portal y la puerta de enlace de Palo Alto Networks GlobalProtect que permite a un atacante no autenticado interrumpir los procesos del sistema y ejecutar potencialmente código arbitrario con privilegios de root. El atacante debe tener acceso de red a la interfaz de GlobalProtect para explotar esta vulnerabilidad. Este problema afecta a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.17. Los clientes de Prisma Access no se ven afectados por esta vulnerabilidad [1].

Este problema sólo es aplicable a las configuraciones de cortafuegos PAN-OS con un portal o puerta de enlace GlobalProtect habilitada. Puede verificar si tiene un portal o puerta de enlace de GlobalProtect configurado comprobando las entradas en "Red > GlobalProtect > Portales" y en "Red > GlobalProtect > Puertas de enlace" desde la interfaz web [2].

Palo Alto Networks no tiene conocimiento de ninguna explotación maliciosa de este problema, sin embargo tiene una puntuación CVSS:3.1 de 9.8 (Crítica).

RECOMENDACIONES

La vulnerabilidad se ha corregido en PAN-OS 8.1.17 y en todas las versiones posteriores de PAN-OS. Aplique las actualizaciones de dicho producto publicadas por el proveedor que corrigen la vulnerabilidad descrita.

Los ataques contra CVE-2021-3064 también pueden bloquearse habilitando las firmas para los ID de amenaza únicos 91820 y 91855 en el tráfico destinado a las interfaces de portal y puerta de enlace de GlobalProtect.

No es necesario habilitar el descifrado SSL para detectar y bloquear los ataques contra este problema.

REFERENCIAS

[1] NVD - CVE-2021-3064 (nist.gov) 
[2] CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces (paloaltonetworks.com)