Używacie VPNa? Nadchodzi huragan. Na początek pełne przejęcie Palo Alto GlobalProtect – SSL VPN.

17 lipca 2019, 16:29 | Aktualności | komentarzy 13
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Pierwszy z trzech artykułów, który pokazuje świeże podatności u trzech znanych producentów VPN-ów. Żadna z luk nie wymaga posiadania konta i umożliwia wykonanie kodu w systemie operacyjnym, na którym pracuje VPN (podatność klasy RCE).

Lukę można wykryć dość prosto (uwaga, nie róbcie tego na systemach produkcyjnych, bo zabija to usługę!)

Bardziej doświadczeni czytelnicy sekuraka widzą może już problem. Tak, jest to podatność klasy format string, umożliwiająca m.in. wykonanie kodu w systemie operacyjnym.

Szczegóły exploitu znajdują się w oryginalnym poście, a badacze zgłosili problem do Palo Alto, które… napisało że wie o problemie, załatało już buga i bounty nie będzie.

Nie zrażeni badacze postanowili bojowo przetestować swoje nowe odkrycie. Przykładowo znaleźli w infrastrukturze Ubera 22 maszyny z usługą GlobalProtect. Po chwili mieli już na nie dostęp:

Uber hacked

Uber wypłacił bounty (aktualizacja: Uber potwierdził podatność, ale nie wypłacił nagrody: „as such, this would not have been able to access any of our internal infrastructure or core services”), a badacze biorą się za opisanie kolejnego dostawcy VPN-ów. Aktualizacja tematu niebawem.

Podatne wersje SSL VPNa od Palo Alto:

  • Palo Alto GlobalProtect SSL VPN 7.1.x < 7.1.19
  • Palo Alto GlobalProtect SSL VPN 8.0.x < 8.0.12
  • Palo Alto GlobalProtect SSL VPN 8.1.x < 8.1.3

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. skirge

    Nie,
    VPN jest po to, żeby było bezpiecznie.
    Na pewno nie ma błędów.

    Odpowiedz
  2. Mortla

    Preferowana wersja PAN-OS teraz to 8.1.8.
    Każdy specjalista śledzi rekomendacje vendora
    @MS dlaczego nie ma odniesienia do Seurity Advisories producenta i odpowiedniego ID ze strony:
    https://securityadvisories.paloaltonetworks.com/
    Jak dokładnie nazywa się podatność? Raczej wywołujecie burzę bez weryfikacji czy jest już łatka i od kiedy

    P.S.Należy być na bieżąco. Podatności były, są i będą. Tak jest z każdym producentem software i firmware.

    Odpowiedz
    • A to kolega z Palo Alto, czy od dystrybutora? ;-)

      1) „Jak się nazywa podatność”? -> no przecież jest w tekście: wykorzystany jest format string, a całość prowadzi do RCE. Chyba że chcesz jakiejś pięknej shiny marketingowej nazwy ;-)

      2) „Raczej wywołujecie burzę bez weryfikacji czy jest już łatka i od kiedy” -> no przecież jest info w tekście, że producent to załatał (trochę po cichu – nie ładnie. Nie poczuł się do tego żeby załatwić numer CVE – to jeszcze w kontekście 1).

      W tekście podajemy wersje, w których podatność jest załatana (czy raczej do których wersji występuje podatność).

      Sam producent też nie był na tyle uprzejmy żeby podać linki do swoich łatek:

      „Thanks for the submission. Palo Alto Networks does follow coordinated vulnerability disclosure for security vulnerabilities that are reported to us by external researchers. We do not CVE items found internally and fixed. This issue was previously fixed, but if you find something in a current version, please let us know.”

      Nawet nie wiadomo czy oni te łatki tutaj dali: https://securityadvisories.paloaltonetworks.com/.

      A jak chcesz pewności, że to działa – to popatrz jak ustrzelili tym Ubera + szczegóły tutaj: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html?m=1

      Miłego dnia :-)

      Odpowiedz
      • Mortla

        Według mnie temat jest na zasadzie podgrzewania kotleta bo prawdę powiedziawszy vendor ma rację i ta odpowiedź wystarcza:
        „Thanks for the submission. Palo Alto Networks does follow coordinated vulnerability disclosure for security vulnerabilities that are reported to us by external researchers. We do not CVE items found internally and fixed. This issue was previously fixed, but if you find something in a current version, please let us know.”

        A teraz pytanie do Was: Jaki „huragan nadchodzi”? Trzeba było napisać, że posiadacze firewalli Palo Alto Networks powinni zwracać uwagę na najlepsze praktyki vendora i weryfikować okresowo jaki jest rekomendowany software i firmware bo po to są upgrade’y. Robi się je żeby zwiększyć stabilność pracy rozwiązania i zainstalować poprawki.

        „A jak chcesz pewności, że to działa – to popatrz jak ustrzelili tym Ubera + szczegóły tutaj: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html?m=1” – działało.. już na preferowanym firmware nie działa… gdzie ten huragan?

        Odpowiedz
  3. AveJa

    Sekurak, słabe to …
    To tak jak pisać o tym, że przeterminowany kotlet powoduje ból brzucha … wiadomo, a żeby uniknąć wystarczy umiejętność czytania ze zrozumieniem i zastosowania się.

    2 i 3 część artykułu …. hmmm … ja to widzę tak, albo znów będą „nowości” z przed pół roku, albo okaże się, że cykl jest ustawką pod określonego producenta, dwie nazwy już obsikane ….
    huragan … to raczej po tym kotlecie przeterminowany …

    Pozdrawiam

    Odpowiedz
    • Jeśli producent dostarcza przeterminowane kotlety i nie chwali się tym na swojej stronie, to tak po prawdzie konsumenci rzeczywiście mogą mieć za moment mały huragan…

      Odpowiedz
      • j6667

        Generalnie takie informacje są zawsze przydatne – ponieważ to critical remote bug. Nawet jeśli bug został dawno poprawiony to niestety na tym świecie jest wielu super security adminów którzy mają softy z 2018 albo jeszcze starsze – bo po co tracić czas na aktualizację FW :)

        Odpowiedz
        • Q

          To nie wina adminów, a ich szefów.

          Odpowiedz
  4. Super Admin

    Jak działa to po co aktualizacja :p

    Odpowiedz
  5. hooper

    Uber nie wypłacił bounty. Wytłumaczenie macie w artykule, który sami podlinkowaliście. Poprawcie swój wpis.

    Odpowiedz
    • Racja. Nie wiem czy to nasze przeoczenie, czy zaktualizowali oryginalny artek. Już aktualizujemy u nas.

      Odpowiedz

Odpowiedz