Haavoittuvuus24/2024CVSS 9.9CVE-2024-9463 (Ulkoinen linkki)
Palo Alto Networks on julkaissut kriittisiä haavoittuvuuksia Palo Alto Networks Expedition -siirtotyökalussa. Haavoittuvuuden avulla hyökkääjä voi saada haltuun palomuurien järjestelmänvalvojan tilit ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.
Haavoittuvuuden kohde
Palo Alto Networks julkaisi PAN-SA-2024-0010 (Ulkoinen linkki), jossa kerrotaan useista erittäin vakavista haavoittuvuuksista. Haavoittuvuudet vaikuttavat Palo Alto Networks Expedition -siirtotyökalun aikaisempaa versiota kuin 1.2.96.
Haavoittuvuudet eivät koske palomuureja, Panoramaa, Prisma Accessia tai Cloud NGFWia
Mistä on kysymys?
Expeditionissa löydetyt haavoittuvuudet ovat kriittisiä etenkin organisaatioille, jotka käyttävät Palo Alto Networksin Expedition -siirtotyökalua. Haavoittuvuuden hyödyntäminen voi johtaa palomuurien järjestelmänvalvojan tilien haltuunottoon ja paljastaa arkaluontoisia tietoja, kuten käyttäjänimiä, selväkielisiä salasanoja ja PAN-OS-palomuurien API-avaimia.
Haavoittuvuudet:
- CVE-2024-9463 (Ulkoinen linkki) (CVSSv4.0: 9.9) mahdollistaa komentojen suorittamisen pääkäyttäjänä.
- CVE-2024-9464 (Ulkoinen linkki) (CVSSv4.0: 9.3) mahdollistaa komentojen suorittamisen pääkäyttäjänä ilman tunnistautumista.
- CVE-2024-9465 (Ulkoinen linkki) (CVSSv4.0: 9.2) mahdollistaa luottamuksellisen tiedon hakemisen SQL tietokannasta.
- CVE-2024-9466 (Ulkoinen linkki) (CVSSv4.0: 8.2) mahdollistaa tunnistautuneelle käyttäjälle pääsyn luottamukselliseen tietoon.
- CVE-2024-9467 (Ulkoinen linkki) (CVSSv4.0: 7.0) XSS haavoittuvuus, joka mahdollistaa selain istunnon kaappaamisen.
Mitä voin tehdä?
Palo Alto Networks on julkaissut Expeditionin version 1.2.96, joka korjaa nämä haavoittuvuudet. Palo Alto suosittelee, että kaikki Expeditionin käsittelemät käyttäjänimet, salasanat ja API-avaimet vaihdetaan versioon päivityksen jälkeen. Palo Alto Networks ehdottaa myös Expeditionin verkkoon pääsyn rajoittamista valtuutettuihin käyttäjiin altistumisen riskin minimoimiseksi.
Haavoittuvuuden CVE-2024-9465 osalta merkkejä hyväksikäytöstä voi hakea seuraavalla komennolla (korvaa "root" käyttämällänne käyttäjänimellä).
mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"
Järjestelmä on mahdollisesti vaarantunut, jos komento palauttaa tietueita. Palo Alton mukaan tämä ei kuitenkaan ole tyhjentävä tapa murron havaitsemiseen, vaan haavoittuva ympäristö on silti syytä tarkistaa epäilyttävän toiminnan havaitsemiseksi.