For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00460
Identificador(es)
ASA-2019-00460, PAN-SA-2019-0020, CVE-2019-1579
Título
Execução remota de código (RCE) não autenticada devido a vulnerabilidade de format string
Fabricante(s)
Palo Alto Networks
Produto(s)
Palo Alto Networks PAN-OS
Versão(ões) afetada(s)
Palo Alto Networks PAN-OS versão 7.1.18 e anteriores
Palo Alto Networks PAN-OS versão 8.0.11 e anteriores
Palo Alto Networks PAN-OS versão 8.1.2 e anteriores
Versão(ões) corrigida(s)
Palo Alto Networks PAN-OS versão 7.1.19 e posterior
Palo Alto Networks PAN-OS versão 8.0.12 e posterior
Palo Alto Networks PAN-OS versão 8.1.3 e posterior
Prova de conceito
Sim
Descrição
Há uma vulnerabilidade de execução remota de código (RCE) não autenticada na interface dos produtos GlobalProtect Portal e GlobalProtect Gateway da Palo Alto Networks. A vulnerabilidade é um problema format string durante a extração de parâmetro ao se conectar em /sslmgr.
Detalhes técnicos
O bug é muito simples. É apenas uma vulnerabilidade de format string simples sem necessidade de autenticação. O sslmgr é o gateway SSL que manipula o handshake SSL entre o servidor e os clientes. O daemon é exposto pelo proxy reverso Nginx e pode ser encontrado pelo caminho /sslmgr.
$ curl https://global-protect/sslmgr
<?xml version="1.0" encoding="UTF-8" ?>
<clientcert-response>
<status>error</status>
<msg>Invalid parameters</msg>
</clientcert-response>
Durante a extração do parâmetro, o daemon pesquisa a string scep-profile-name e passa seu valor como o formato snprintf para preencher o buffer. Isso leva ao ataque de format string. Você pode simplesmente travar o serviço com %n!
POST /sslmgr HTTP/1.1
Host: global-protect
Content-Length: 36
scep-profile-name=%n%n%n%n%n...
Créditos
Orange Tsai e Meh Chang
Referência(s)
Palo Alto Networks Product Vulnerability – Security Advisories
https://securityadvisories.paloaltonetworks.com/(X(1)S(1mczpnil050pdwtagkwkoumn))/
PAN-SA-20190020
https://securityadvisories.paloaltonetworks.com/(X(1)S(1mczpnil050pdwtagkwkoumn))/Home/Detail/158
Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html
Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/
CVE-2019-1579
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1579
CVE-2019-1579
https://nvd.nist.gov/vuln/detail/CVE-2019-1579
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 julho 2019