Уязвимость в межсетевых экранах Palo Alto Networks позволяет удаленно выполнять код

В межсетевых экранах Palo Alto Networks, использующих GlobalProtect VPN, была обнаружена уязвимость, которая может быть проэксплуатирована неавторизованным злоумышленником для выполнения произвольного кода на уязвимых устройствах с привилегиями суперпользователя.

Проблема (CVE-2021-3064) получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

«Цепочка уязвимостей состоит из метода обхода проверок, сделанных внешним web-сервером, и переполнения буфера на основе стека. Использование цепочки уязвимостей было доказано и позволяет удаленно выполнять код как на физических, так и на виртуальных межсетевых экранах», — пояснили эксперты из ИБ-фирмы Randori, обнаружившие уязвимость.

Уязвимость связана с переполнением буфера, которое происходит при синтаксическом анализе вводимых пользователем данных. Для успешной эксплуатации уязвимости злоумышленнику необходимо использовать метод под названием HTTP Request Smuggling («Контрабанда HTTP-запросов»), а также иметь сетевой доступ к устройству через порт 443 службы GlobalProtect.

Randori начала санкционированное использование цепочки уязвимостей 1 декабря 2020 года. На устройствах с включенным ASLR (что характерно для большинства аппаратных устройств) эксплуатация затруднена, но возможна. На виртуализированных устройствах (межсетевые экраны серии VM) эксплуатация значительно упрощается из-за отсутствия ASLR, и эксперты прогнозируют появление публичных эксплоитов. Исследователи не использовали переполнение буфера для контролируемого выполнения кода на определенных версиях аппаратных устройств с процессорами плоскости управления на основе MIPS из-за их архитектуры с прямым порядком байтов, хотя переполнение доступно на этих устройствах и может быть использовано для ограничения доступности сервисов.

Пользователям настоятельно рекомендуется как можно скорее исправить уязвимость. В качестве меры по предотвращению эксплуатации уязвимости Palo Alto Networks рекомендует включить сигнатуры угроз для идентификаторов 91820 и 91855 в трафике, предназначенном для портала GlobalProtect и интерфейсов шлюза.

Технические подробности CVE-2021-3064 не будут разглашаться в течение 30 дней, чтобы злоумышленники не использовали уязвимость для проведения атак.


HTTP Request Smuggling основывается на различиях в обработке данных одного или нескольких HTTP-устройств (кэш-сервер, прокси-сервер, межсетевой экран и т.п.) находящихся между пользователем и web-сервером. Техника HTTP Request Smuggling позволяет провести различные виды атак — отравление кэша, похищение сеанса, межсайтовое выполнение сценариев, а также предоставляет возможность обойти защиту межсетевого экрана.