Kriittisiä haavoittuvuuksia Palo Alto Networks Expeditionissa

Palo Alto Networks on julkaissut kriittisiä haavoittuvuuksia Palo Alto Networks Expedition -siirtotyökalussa. Haavoittuvuuden avulla hyökkääjä voi saada haltuun palomuurien järjestelmänvalvojan tilit ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.

Haavoittuvuuden yhteenveto

Haavoittuvuus: 24/2024
Vakavuus: 9.9 CVSS-asteikolla (Kriittinen haavoittuvuus)

CVE-2024-9463 (NIST National Vulnerability Database, englanniksi) Ulkoinen verkkopalvelu.

Haavoittuvuuden kohde

Palo Alto Networks julkaisi PAN-SA-2024-0010 Ulkoinen verkkopalvelu., jossa kerrotaan useista erittäin vakavista haavoittuvuuksista. Haavoittuvuudet vaikuttavat Palo Alto Networks Expedition -siirtotyökalun aikaisempaa versiota kuin 1.2.96.

Haavoittuvuudet eivät koske palomuureja, Panoramaa, Prisma Accessia tai Cloud NGFWia

Mistä on kysymys?

Expeditionissa löydetyt haavoittuvuudet ovat kriittisiä etenkin organisaatioille, jotka käyttävät Palo Alto Networksin Expedition -siirtotyökalua. Haavoittuvuuden hyödyntäminen voi johtaa palomuurien järjestelmänvalvojan tilien haltuunottoon ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.

Haavoittuvuudet:

CVE-2024-9463 Ulkoinen verkkopalvelu. (CVSSv4.0: 9.9) mahdollistaa komentojen suorittamisen pääkäyttäjänä.
CVE-2024-9464 Ulkoinen verkkopalvelu. (CVSSv4.0: 9.3) mahdollistaa komentojen suorittamisen pääkäyttäjänä ilman tunnistautumista.
CVE-2024-9465 Ulkoinen verkkopalvelu. (CVSSv4.0: 9.2) mahdollistaa luottamuksellisen tiedon hakemisen SQL tietokannasta.
CVE-2024-9466 Ulkoinen verkkopalvelu. (CVSSv4.0: 8.2) mahdollistaa tunnistautuneelle käyttäjälle pääsyn luottamukselliseen tietoon.
CVE-2024-9467 Ulkoinen verkkopalvelu. (CVSSv4.0: 7.0) XSS haavoittuvuus, joka mahdollistaa selain istunnon kaappaamisen.

Mitä voin tehdä?

Palo Alto Networks on julkaissut Expeditionin version 1.2.96, joka korjaa nämä haavoittuvuudet. Palo Alto suosittelee, että kaikki Expeditionin käsittelemät käyttäjänimet, salasanat ja API-avaimet vaihdetaan versioon päivityksen jälkeen. Palo Alto Networks ehdottaa myös Expeditionin verkkoon pääsyn rajoittamista valtuutettuihin käyttäjiin altistumisen riskin minimoimiseksi.

Haavoittuvuuden CVE-2024-9465 osalta merkkejä hyväksikäytöstä voi hakea seuraavalla komennolla (korvaa "root" käyttämällänne käyttäjänimellä).

mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"

Järjestelmä on mahdollisesti vaarantunut, jos komento palauttaa tietueita. Palo Alton mukaan tämä ei kuitenkaan ole tyhjentävä tapa murron havaitsemiseen, vaan haavoittuva ympäristö on silti syytä tarkistaa epäilyttävän toiminnan havaitsemiseksi.