Kriittisiä haavoittuvuuksia Palo Alto Networks Expeditionissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittisiä haavoittuvuuksia Palo Alto Networks Expeditionissa

10. lokakuuta 2024 klo 15.00

Palo Alto Networks on julkaissut kriittisiä haavoittuvuuksia Palo Alto Networks Expedition -siirtotyökalussa. Haavoittuvuuden avulla hyökkääjä voi saada haltuun palomuurien järjestelmänvalvojan tilit ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.

Haavoittuvuuden kohde

Palo Alto Networks julkaisi PAN-SA-2024-0010, jossa kerrotaan useista erittäin vakavista haavoittuvuuksista. Haavoittuvuudet vaikuttavat Palo Alto Networks Expedition -siirtotyökalun aikaisempaa versiota kuin 1.2.96.

Haavoittuvuudet eivät koske palomuureja, Panoramaa, Prisma Accessia tai Cloud NGFWia

Mistä on kysymys?

Expeditionissa löydetyt haavoittuvuudet ovat kriittisiä etenkin organisaatioille, jotka käyttävät Palo Alto Networksin Expedition -siirtotyökalua. Haavoittuvuuden hyödyntäminen voi johtaa palomuurien järjestelmänvalvojan tilien haltuunottoon ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.
 

Haavoittuvuudet:

  • CVE-2024-9463 (CVSSv4.0: 9.9) mahdollistaa komentojen suorittamisen pääkäyttäjänä. 
  • CVE-2024-9464 (CVSSv4.0: 9.3) mahdollistaa komentojen suorittamisen pääkäyttäjänä ilman tunnistautumista.
  • CVE-2024-9465 (CVSSv4.0: 9.2) mahdollistaa luottamuksellisen tiedon hakemisen SQL tietokannasta.
  • CVE-2024-9466 (CVSSv4.0: 8.2) mahdollistaa tunnistautuneelle käyttäjälle pääsyn luottamukselliseen tietoon. 
  • CVE-2024-9467 (CVSSv4.0: 7.0) XSS haavoittuvuus, joka mahdollistaa selain istunnon kaappaamisen.

Mitä voin tehdä?

Palo Alto Networks on julkaissut Expeditionin version 1.2.96, joka korjaa nämä haavoittuvuudet. Palo Alto suosittelee, että kaikki Expeditionin käsittelemät käyttäjänimet, salasanat ja API-avaimet vaihdetaan versioon päivityksen jälkeen. Palo Alto Networks ehdottaa myös Expeditionin verkkoon pääsyn rajoittamista valtuutettuihin käyttäjiin altistumisen riskin minimoimiseksi.

Haavoittuvuuden CVE-2024-9465 osalta merkkejä hyväksikäytöstä voi hakea seuraavalla komennolla (korvaa "root" käyttämällänne käyttäjänimellä).

mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"

Järjestelmä on mahdollisesti vaarantunut, jos komento palauttaa tietueita. Palo Alton mukaan tämä ei kuitenkaan ole tyhjentävä tapa murron havaitsemiseen, vaan haavoittuva ympäristö on silti syytä tarkistaa epäilyttävän toiminnan havaitsemiseksi.