A Palo Alto Networks lançou correções para duas vulnerabilidades de exploração que afetam seus firewalls e dispositivos de segurança virtuais. Juntas, as falhas permitem que invasores executem códigos maliciosos com permissões muito altas no sistema operacional PAN-OS, assumindo controle total dos dispositivos.
Palo Alto emitiu um comunicado no início deste mês alertando os clientes que estava investigando relatórios de uma vulnerabilidade de execução remota de código (RCE) na interface de gerenciamento baseada na web PAN-OS e os aconselhou a seguir as etapas recomendadas para proteger o acesso a essa interface.
Em sua investigação, a empresa descobriu que o ataque RCE foi resultado não de uma, mas de duas vulnerabilidades, que foram exploradas em um ataque já limitado contra dispositivos com interface de gerenciamento exposta à Internet.
Para garantir a passagem e escalada de direitos
A primeira vulnerabilidade (CVE-2024-0012) é classificada como crítica com uma pontuação de 9,3 em 10. Ao explorar esse problema, os invasores podem ignorar a autenticação e obter privilégios administrativos na interface administrativa, permitindo-lhes executar ações administrativas e alterar configurações.
Embora isso seja ruim o suficiente, não leva diretamente à corrupção total do sistema, a menos que essa funcionalidade possa ser usada para executar código malicioso no sistema operacional subjacente.
Acontece que os invasores encontraram esse caminho por meio da segunda vulnerabilidade (CVE-2024-9474), que permite que qualquer pessoa com privilégios administrativos na interface web execute código em um sistema operacional baseado em Linux como root – o privilégio mais alto possível.
Ambas as vulnerabilidades afetam o PAN-OS 10.2, o PAN-OS 11.0, o PAN-OS 11.1 e o PAN-OS 11.2, todos os quais receberam patches.
Os erros foram pequenos
Pesquisadores da empresa de segurança watchTowr revisaram os folhetos de Palo Alto para analisar ambas as vulnerabilidades e concluíram que os erros eram resultado de erros fundamentais no processo de desenvolvimento.
Para garantir que a autenticação seja necessária para o usuário acessar a página, a interface de gerenciamento do PAN OS verifica se o cabeçalho da solicitação X-Pan-Authcheck está ativado ou desativado. O servidor proxy Nginx que encaminha solicitações para o servidor Apache que hospeda o aplicativo da web ativa automaticamente o X-Pan-Authcheck com base na rota da solicitação. Em alguns casos, o X-Pan-Authcheck é habilitado porque um local – por exemplo, o diretório /unauth/ – deve ser acessível sem autenticação, mas quase tudo, exceto /unauth/, deve ter um cabeçalho definido, o que deve resultar no usuário ser redirecionado para a página de login.
No entanto, os pesquisadores do watchTowr descobriram que um script de redirecionamento chamado uiEnvSetup.php espera que o valor HTTP_X_PAN_AUTHCHECK seja desabilitado e, se isso for fornecido na solicitação, o servidor o aceitará automaticamente.
“Nós simplesmente… fornecemos o valor fechado no cabeçalho de solicitação HTTP X-PAN-AUTHCHECK e o servidor desativa a autenticação?!”, escreveram os pesquisadores em seu relatório. “Por enquanto, por que alguém está surpreso?”
O segundo bug, e vamos listá-lo, é um bug de injeção de comando que permite que comandos shell sejam passados como nome de usuário para uma função chamada AuditLog.write(), que então passa o comando injetado para pexecute(). Mas a sobrecarga da indústria madeireira é na verdade o resultado de uma atividade diferente que é em si mais alarmante, segundo os pesquisadores.
A função permite que os dispositivos Palo Alto Panorama especifiquem a função de um usuário e o usuário que desejam assumir e, em seguida, obtenham um ID de sessão PHP totalmente autenticado sem a necessidade de fornecer uma senha ou passar pela autenticação de dois fatores.
No geral, devido a essa estrutura de software, o invasor pode passar a carga útil do shell como parte do campo nome de usuário para representar um usuário e uma função específicos, que serão passados para AuditLog.write() e depois para pexecute(), resultando em sua execução em o sistema operacional subjacente.
“É surpreendente que esses dois bugs tenham chegado a uma máquina de produção, o que surpreendentemente permitiu um monte de aplicativos shell script escondidos no hardware de Palo Alto”, escreveram eles em sua análise.
Redução
Além de atualizar os firewalls afetados para versões recém-lançadas, os administradores devem restringir o acesso à interface de gerenciamento apenas a endereços IP confiáveis. A interface de gerenciamento também pode ser isolada em uma VLAN de gerenciamento dedicada ou pode ser configurada para ser acessada pelos chamados servidores de salto que exigem primeiro autenticação separada.
Deixar interfaces de gerenciamento PAN-OS expostas à Internet é muito perigoso, pois esta não é a primeira e certamente não a última vulnerabilidade RCE encontrada em tais dispositivos. No início deste ano, a Palo Alto Networks publicou uma falha RCE de dia zero (CVE-2024-3400) no PAN-OS que foi explorada por um ator de ameaça nacional.
A equipe de caça a ameaças da Palo Alto Networks está rastreando as explorações CVE-2024-0012 e CVE-2024-9474 sob o nome de Operação Lunar Peak e publicou indicadores de comprometimento relacionados.
“Essa atividade se origina principalmente de endereços IP conhecidos pelo tráfego de proxy/túnel para serviços VPN anônimos”, disse a equipe. “A atividade pós-exploração identificada inclui a execução de prompts de comando e a colocação de malware, como webshells, no firewall.”
