Palo Alto网关中的关键RCE漏洞击中优步

Palo Alto Networks的GlobalProtect门户和GlobalProtect Gateway接口安全产品中发现了一个远程代码执行（RCE）漏洞。 这是一个不寻常的零日案例，以前不为人知但在后来的版本中无意中修复了 - 但一些大公司仍然可能受到影响，包括优步。

网关通过客户端与网关防火墙上的隧道接口之间的IPSec或SSL隧道，提供对内部网络的虚拟专用网络（VPN）访问。 用户还可以在部署在Amazon Web Services（AWS）云中的VM系列防火墙上配置GlobalProtect网关。

该漏洞（CVE-2019-1579）是该公司SSL网关中的格式字符串漏洞，它处理客户端/服务器SSL握手。 该错误被认为是关键的，因为它允许未经身份验证的攻击者执行任意代码 - 因此用户应立即更新到修补版本。

“更具体地说，该漏洞的存在是因为网关以一种未经过计划和可利用的方式将特定参数的值传递给snprintf，”Tenable研究人员在一篇关于该漏洞的文章中解释道 。 “未经身份验证的攻击者可以通过向易受攻击的SSL VPN目标发送特制请求来利用此漏洞，以远程执行系统上的代码。”

研究人员Orange Tsai和Meh Chang上周首次公布了这个漏洞，这个漏洞是一个以前未知的漏洞，但后来版本的Palo Alto产品碰巧接种了它，这意味着最新的系统没有危险。

“没有公开的RCE漏洞......没有官方的建议包含任何类似的东西，也没有CVE。 所以我们相信这必须是一天的无声修复！“研究人员在博客中写道。

然而，在查看组织是否仍处于危险之中时，Tsai和Chang发现Uber正在运行一个易受攻击的版本，这促使Palo Alto发布CVE和bug警报 。

“优步在全球拥有大约22台运行GlobalProtect的服务器，”他们说。 他们补充说，他们能够说出乘车共享服务使用的是旧版本。 “从域名来看，我们猜Uber使用AWS Marketplace的BYOL。 从登录页面看，Uber似乎使用8.x版本，我们可以从市场概述页面上支持的版本列表中定位可能的目标版本。“

Uber在给Tsai和Chang的一份报告中说，他们的网关不是它的主要VPN，也不是该组织核心基础设施的一部分，这减轻了这个漏洞的一些潜在影响：

资料来源：蔡和昌。

该问题影响PAN-OS 7.1.18及更早版本，PAN-OS 8.0.11及更早版本以及PAN-OS 8.1.2及更早版本。 PAN-OS 9.0不受影响。 要修补此问题，用户应更新到PAN-OS 7.1.19及更高版本，PAN-OS 8.0.12及更高版本或PAN-OS 8.1.3及更高版本。

对于尚无法更新的用户，Palo Alto建议用户更新到内容版本8173或更高版本，并确保在通过GlobalProtect门户和GlobalProtect网关界面的流量上启用并强制实施威胁防护。

由于该缺陷以前未知，“我们希望看到更多的传入扫描，以识别在其环境中运行易受攻击的PAN SSL VPN实例的组织，”Tenable研究人员表示。

对补丁管理更感兴趣？ 不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势，如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息