IT-sikkerhetsselskapet Palo Alto Networks kom denne uken med sikkerhetsoppdateringer til de av selskapet brannmurprodukter som benytter grensesnittene Globalprotect Portal eller Globalprotect Gateway. Det dreier seg om en minnekorrumperingssårbarhet som gjør det mulig for ikke-autentiserte angripere å forstyrre systemprosesser eller potensielt kjøre vilkårlig kode med root-privilegier.
Med kontroll over brannmuren har angripere blant annet mulighet til å bevege seg innover i nettverket som brannmuren beskytter.
Svært kritisk, men ikke alle versjoner
For å utnytte sårbarheten må angriperen ha nettverkstilgang til Globalprotect-grensesnittene. Mange er tilgjengelige via internett. Dessuten er det bare enheter med PAN-OS 8.1-versjoner eldre enn 8.1.17, som er berørt.
I Norge er det ifølge søketjenesten Shodan 833 Globalprotect-installasjoner som er eksponert mot internett. Blant dem som oppgir versjonsnummer, er det bare en liten andel som benytter en sårbar versjon av PAN-OS.
Sårbarheten anses av Palo Alto Networks som kritisk, med en CVSS (Common Vulnerability Scoring System) v3.1-score på 9,8 av 10 mulige.
I praksis skal det dreie seg om en sårbarhetskjede som består av en metode for å omgå validering gjort av en ekstern webserver (omtalt som HTTP-smugling) og en stackbasert bufferoverflytsfeil.
Til tross for at dette er en svært alvorlig sårbarhet, som berørte brukere bør få fjernet så raskt som mulig, så er det ikke sårbarheten i seg selv som er det mest oppsiktsvekkende i denne saken.
Apples nettleser kan lekke surfehistorikk og Google-data – prøv demoen som viser sårbarheten i aksjon
Utnyttet sårbarheten selv
Radori, IT-sikkerhetsselskapet som oppdaget sårbarheten, opplyser i et blogginnlegg at selskapet har vært klar over sårbarhetskjeden i nærmere et år før Palo Alto Networks ble varslet. I mellomtiden har Radori brukt sårbarhetskjeden som en del av selskapets automatiserte «red team»-plattform, som selskapet bruker til å oppdage sårbarheter hos kunder.
Minnesårbarheten og muligheten for HTTP-smugling ble oppdaget i november 2020. Først i september i år ble Palo Alto Networks varslet om minnesårbarheten. Deretter gikk det enda noen uker før Radori avslørte muligheten for HTTP-smugling for Palo Alto Networks.
Det vanlige i bransjen er at sikkerhetsforskere varsler leverandører av potensielt sårbare produkter så raskt som mulig, etter at de har oppdaget sårbarheter. Ikke sjelden er det sikkerhetsforskerne som må presse på for at leverandøren skal komme med sikkerhetsfikser så raskt som mulig. Pressmidlet er ofte at sikkerhetsforskerne vil offentliggjøre sårbarheten senest 90 dager etter at leverandøren er varslet, uansett om en sikkerhetsfiks er tilgjengelig eller ikke.
Radori har derimot valgt å utnytte kjennskapen til sårbarheten til egen fordel, utover den anerkjennelsen som slike oppdagelser ofte gir. I alle fall offisielt er atferd i liten grad blitt knyttet til andre enn etterretningsorganisasjoner og kommersielle leverandører av cyberangrepsvåpen.
– Nødvendig for kundene
Det er liten tvil om at Radori forstår at dette er kontroversielt. Derfor kom selskapet med en «forsvarstale» samme dag som sikkerhetsfiksene ble utgitt.
– «Red team»-verktøy og – teknikker, inkludert nulldagsutnyttelser, er nødvendige for at våre kunder og cybersikkerhetsverdenen som et hel, skal lykkes. Likevel, som ethvert offensivt verktøy, må sårbarhetsinformasjon håndteres forsiktig og med den respekten som kreves. Vårt oppdrag er å tilby en høyst verdifull opplevelse til vår kunder, samtidig som at vi anerkjenner og håndterer de tilknyttede risikoene, skriver David Wolpoff,
Hensikten med å utnytte nulldagssårbarheter i penetrasjonstestingen, er ifølge Wolpoff å forberede kundene på hvordan de skal kunne forsvare seg mot utnyttelse av ukjente sårbarheter eller sårbarheter som ikke kan patches.
– Nulldagsutnyttelser fjerner patching som den eneste løsningen, og lar oss flytte diskusjonen fra «hvordan hindrer vi feil fra å inntreffe?» til «hvordan gjenoppretter vi når feil uunngåelig inntreffer?», skriver Wolpoff.
Kritisk hull i brannmur: – Blir aktivt utnyttet av angripere
