Palo Alto GlobalProtect 远程代码执行漏洞预警


Alto GlobalProtect 远程代码执行漏洞预警

  更多全球网络安全资讯尽在E安全官网

  01 安全公告

  2019年7月18,Palo Alto官方发布了一个GlobalProtect PortalGateway接口存在远程代码执行漏洞的公告,厂商编号:PAN-SA-

  https:securityadvisories.paloaltonetworks.comHomeDetail158

  根据网上已公开的分析,漏洞主要为针对sslmgr接口 POST提交格式化字符串触发,影响PAN-OS 7.1.18、 PAN-OS 8.0.11、PAN-OS 8.1.2之前版本,漏洞相关信息:

  https:devco.reblogattacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study

  Palo Alto 安全公告参考:

  https:securityadvisories.paloaltonetworks.com?AspxAutoDetectCookieSupport=1

  02 影响版本

  启用GlobalProtect受影响的版本包括:

  PAN-OS 7.1.18及之前版本;

  PAN-OS 8.0.11及之前版本;

  PAN-OS 8.1.2及之前版本;

  PAN-OS 9.0不受影响。

  E03 影响范围

  通过安恒研究院SUMAP平台针对全球Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:

  

  通过安恒研究院SUMAP平台针对国内Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:

  

  04 缓解措施

  高危:目前针对该漏洞的公开分析和利用代码已经出现,建议尽快进行安全更新或做好安全加固配置。

  Palo Alto已发布补丁,请及时更新补丁或做加固配置:

  PAN-OS 7.1.18及之前版本,更新到PAN-OS 7.1.19以上版本;

  PAN-OS 8.0.11及之前版本;更新到PAN-OS 8.0.12以上版本;

  PAN-OS 8.1.2及之前版本;更新到PAN-OS 8.1.3以上版本。

  临时缓解,参考官方文档停止GlobalProtect portal登录:

  https:knowledgebase.paloaltonetworks.comKCSArticleDetail?id=kA10gClbpCAC

  威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDoS僵尸木马等恶意程序,从而影响到设备功能的正常提供。

  安全运营建议:针对网络边界设备定期审计管理端口的异常登录请求和设备补丁更新状态,建议使用该产品的企业经常关注官方安全更新公告。

  本文转载自?安恒应急响应中心

  更多全球网络安全资讯尽在E安全官网

  01 安全公告

  2019年7月18,Palo Alto官方发布了一个GlobalProtect PortalGateway接口存在远程代码执行漏洞的公告,厂商编号:PAN-SA-

  https:securityadvisories.paloaltonetworks.comHomeDetail158

  根据网上已公开的分析,漏洞主要为针对sslmgr接口 POST提交格式化字符串触发,影响PAN-OS 7.1.18、 PAN-OS 8.0.11、PAN-OS 8.1.2之前版本,漏洞相关信息:

  https:devco.reblogattacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study

  Palo Alto 安全公告参考:

  https:securityadvisories.paloaltonetworks.com?AspxAutoDetectCookieSupport=1

  02 影响版本

  启用GlobalProtect受影响的版本包括:

  PAN-OS 7.1.18及之前版本;

  PAN-OS 8.0.11及之前版本;

  PAN-OS 8.1.2及之前版本;

  PAN-OS 9.0不受影响。

  E03 影响范围

  通过安恒研究院SUMAP平台针对全球Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:

  

  通过安恒研究院SUMAP平台针对国内Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:

  

  04 缓解措施

  高危:目前针对该漏洞的公开分析和利用代码已经出现,建议尽快进行安全更新或做好安全加固配置。

  Palo Alto已发布补丁,请及时更新补丁或做加固配置:

  PAN-OS 7.1.18及之前版本,更新到PAN-OS 7.1.19以上版本;

  PAN-OS 8.0.11及之前版本;更新到PAN-OS 8.0.12以上版本;

  PAN-OS 8.1.2及之前版本;更新到PAN-OS 8.1.3以上版本。

  临时缓解,参考官方文档停止GlobalProtect portal登录:

  https:knowledgebase.paloaltonetworks.comKCSArticleDetail?id=kA10gClbpCAC

  威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDoS僵尸木马等恶意程序,从而影响到设备功能的正常提供。

  安全运营建议:针对网络边界设备定期审计管理端口的异常登录请求和设备补丁更新状态,建议使用该产品的企业经常关注官方安全更新公告。

  本文转载自?安恒应急响应中心

达到当天最大量