TLP:GREEN

TLP:AMBER

Early Warning
“CVE-2021-3064 PAN-OS”
ID: EW2111-038

"La información contenida en este documento es propiedad intelectual de Scitum, S.A. de C.V., y constituye secreto industrial, por lo que queda estrictamente prohibida su reproducción, modificación, divulgación,
uso o aprovechamiento por cualquier medio impreso, mecánico o electrónico sin la autorización previa por escrito de Scitum”.

TLP:GREEN
 TLP:GREEN

Descripción de la vulnerabilidad 10 de noviembre de 2021

CVE-2021-3064 PAN-OS
Vulnerabilidad de corrupción de memoria en
interfaces de puerta de enlace y portal de GlobalProtect.

El siguiente reporte tiene como objetivo informar sobre una vulnerabilidad crítica de corrupción de memoria en las
interfaces de puerta de enlace y el portal GlobalProtect del firewall de Palo Alto Networks.

Análisis de la vulnerabilidad

La vulnerabilidad está registrada con el identificador CVE-2021-3064, tiene una puntuación base CVSS de 9.8, y
permite a un atacante de red no autenticado interrumpir los procesos del sistema y potencialmente ejecutar código
arbitrario con privilegios root.

Es importante mencionar que la vulnerabilidad sólo afecta a las versiones de PAN-OS 8.1 anteriores a PAN-OS
8.1.17. Además, para abusar de ella el atacante debe tener acceso de red a la interfaz de GlobalProtect. De igual
manera, es necesario aclarar que esta vulnerabilidad solo afecta a configuraciones de firewall PAN-OS con un portal
o puerta de enlace GlobalProtect habilitado.

Al momento, Palo Alto Networks no tiene conocimiento de ninguna explotación maliciosa de este problema, sin
embargo, el equipo de ataque de Radori comenta que cuentan con un exploit funcional que abusa de esta
vulnerabilidad. El equipo comenta que planean publicar más detalles técnicos una vez que el parche haya tenido
suficiente tiempo para propagarse. Dicho lo anterior, es de suma importancia seguir las recomendaciones que se
presentan a continuación.

Recomendaciones

• Verifique si tiene un portal o una puerta de enlace de GlobalProtect configurados, comprobando las entradas en
'Red > GlobalProtect > Portales' y en 'Red> GlobalProtect > Puertas de enlace' desde la interfaz web.

• Si GlobalProtect VPN del firewall de Palo Alto Networks no es necesario para la operación de su organización,
desactívelo.

• Actualice a una versión superior o igual a PAN-OS 8.1.17.

• Habilite las firmas para los Unique Threat IDs 91820 y 91855 en el tráfico destinado al portal de GlobalProtect y
a las interfaces de puerta de enlace para bloquear ataques contra la vulnerabilidad relacionada al CVE-2021-
3064.

Nota: No es necesario habilitar el descifrado SSL para detectar y bloquear ataques contra esta vulnerabilidad.

Referencias
• https://security.paloaltonetworks.com/CVE-2021-3064
• https://cvssjs.github.io/#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• https://threatpost.com/massive-zero-day-hole-found-in-palo-alto-security-appliances/176170/
• https://www.randori.com/attack/

2 de 2

TLP:GREEN