ASA-2019-00460 – Palo Alto GlobalProtect Portal/Gateway Interface: Execução remota de código (RCE) não autenticada devido a vulnerabilidade de format string

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00460

Identificador(es)

ASA-2019-00460, PAN-SA-2019-0020, CVE-2019-1579

Título

Execução remota de código (RCE) não autenticada devido a vulnerabilidade de format string

Fabricante(s)

Palo Alto Networks

Produto(s)

Palo Alto Networks PAN-OS

Versão(ões) afetada(s)

Palo Alto Networks PAN-OS versão 7.1.18 e anteriores
Palo Alto Networks PAN-OS versão 8.0.11 e anteriores
Palo Alto Networks PAN-OS versão 8.1.2 e anteriores

Versão(ões) corrigida(s)

Palo Alto Networks PAN-OS versão 7.1.19 e posterior
Palo Alto Networks PAN-OS versão 8.0.12 e posterior
Palo Alto Networks PAN-OS versão 8.1.3 e posterior

Prova de conceito

Sim

Descrição

Há uma vulnerabilidade de execução remota de código (RCE) não autenticada na interface dos produtos GlobalProtect Portal e GlobalProtect Gateway da Palo Alto Networks. A vulnerabilidade é um problema format string durante a extração de parâmetro ao se conectar em /sslmgr.

Detalhes técnicos

O bug é muito simples. É apenas uma vulnerabilidade de format string simples sem necessidade de autenticação. O sslmgr é o gateway SSL que manipula o handshake SSL entre o servidor e os clientes. O daemon é exposto pelo proxy reverso Nginx e pode ser encontrado pelo caminho /sslmgr.

$ curl https://global-protect/sslmgr
<?xml version="1.0" encoding="UTF-8" ?>
        <clientcert-response>
                <status>error</status>
                <msg>Invalid parameters</msg>
        </clientcert-response>

Durante a extração do parâmetro, o daemon pesquisa a string scep-profile-name e passa seu valor como o formato snprintf para preencher o buffer. Isso leva ao ataque de format string. Você pode simplesmente travar o serviço com %n!

POST /sslmgr HTTP/1.1
Host: global-protect
Content-Length: 36

scep-profile-name=%n%n%n%n%n...

Créditos

Orange Tsai e Meh Chang

Referência(s)

Palo Alto Networks Product Vulnerability – Security Advisories
https://securityadvisories.paloaltonetworks.com/(X(1)S(1mczpnil050pdwtagkwkoumn))/

PAN-SA-20190020
https://securityadvisories.paloaltonetworks.com/(X(1)S(1mczpnil050pdwtagkwkoumn))/Home/Detail/158

Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html

Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/

CVE-2019-1579
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1579

CVE-2019-1579
https://nvd.nist.gov/vuln/detail/CVE-2019-1579

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.