Palo Alto GlobalProtect 远程代码执行漏洞预警
01
安全公告
2019年7月18,Palo Alto官方发布了一个GlobalProtect Portal/Gateway接口存在远程代码执行漏洞的公告,厂商编号:PAN-SA-2019-0020,相关信息链接:
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
根据网上已公开的分析,漏洞主要为针对/sslmgr接口 POST提交格式化字符串触发,影响PAN-OS 7.1.18、 PAN-OS 8.0.11、PAN-OS 8.1.2之前版本,漏洞相关信息:
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/
Palo Alto 安全公告参考:
https://securityadvisories.paloaltonetworks.com/?AspxAutoDetectCookieSupport=1
02
影响版本
启用GlobalProtect受影响的版本包括:
PAN-OS 7.1.18及之前版本;
PAN-OS 8.0.11及之前版本;
PAN-OS 8.1.2及之前版本;
PAN-OS 9.0不受影响。
03
影响范围
通过安恒研究院SUMAP平台针对全球Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:
通过安恒研究院SUMAP平台针对国内Palo Alto GlobalProtect的资产情况统计,最新查询分布情况如下:
04
缓解措施
高危:目前针对该漏洞的公开分析和利用代码已经出现,建议尽快进行安全更新或做好安全加固配置。
Palo Alto已发布补丁,请及时更新补丁或做加固配置:
PAN-OS 7.1.18及之前版本,更新到PAN-OS 7.1.19以上版本;
PAN-OS 8.0.11及之前版本;更新到PAN-OS 8.0.12以上版本;
PAN-OS 8.1.2及之前版本;更新到PAN-OS 8.1.3以上版本。
临时缓解,参考官方文档停止GlobalProtect portal登录:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbpCAC
威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDoS僵尸木马等恶意程序,从而影响到设备功能的正常提供。
安全运营建议:针对网络边界设备定期审计管理端口的异常登录请求和设备补丁更新状态,建议使用该产品的企业经常关注官方安全更新公告。