Palo Alto Networks a avertizat astăzi clienții săi să remedieze vulnerabilitățile de securitate (cu cod de exploit public) care pot fi legate pentru a permite atacatorilor să preia firewall-urile PAN-OS.
Deficiențele au fost găsite în soluția Expedition a Palo Alto Networks, care ajută la migrarea configurațiilor de la alte Checkpoint, Cisco sau vendori suportați.
Ele pot fi exploatate pentru a accesa date sensibile, cum ar fi datele de autentificare ale utilizatorilor, care pot ajuta la preluarea conturilor de administrator firewall.
„Mai multe vulnerabilități în Expedition de la Palo Alto Networks permit unui atacator să citească conținutul bazei de date Expedition și fișiere arbitrare, precum și să scrie fișiere arbitrare în locații de stocare temporară pe sistemul Expedition”, a declarat compania într-un avertisment publicat miercuri.
„Împreună, acestea includ informații precum numele de utilizator, parolele în text clar, configurațiile dispozitivelor și cheile API ale firewall-urilor PAN-OS.”
Aceste bug-uri sunt o combinație de injecție a comenzilor, scripting cross-site reflectat (XSS), stocarea în text clar a informațiilor sensibile, lipsa autentificării și vulnerabilități de injecție SQL:
Cercetătorul de vulnerabilități Horizon3.ai, Zach Hanley, care a descoperit și raportat patru dintre bug-uri, a publicat, de asemenea, o analiză a cauzelor care detaliază cum a descoperit trei dintre aceste deficiențe în timp ce cerceta vulnerabilitatea CVE-2024-5910 (divulgată și remediată în iulie), care permite atacatorilor să reseteze datele de autentificare ale administrației aplicației Expedition.
Hanley a lansat, de asemenea, un exploit proof-of-concept care leagă defectul de resetare a administratorului CVE-2024-5910 cu vulnerabilitatea de injecție a comenzilor CVE-2024-9464 pentru a obține execuție de comandă arbitrară „neautentificată” pe serverele vulnerabile Expedition.
Palo Alto Networks spune că, momentan, nu există dovezi că vulnerabilitățile de securitate au fost exploatate în atacuri.
„Remediile pentru toate problemele listate sunt disponibile în Expedition 1.2.96 și toate versiunile ulterioare ale Expedition. Fișierul text afectat de CVE-2024-9466 va fi eliminat automat în timpul actualizării”, a adăugat Palo Alto Networks astăzi.
„Toate numele de utilizator, parolele și cheile API ale Expedition trebuie rotite după actualizarea la versiunea corectată a Expedition. Toate numelele de utilizator, parolele și cheile API ale firewall-urilor procesate de Expedition trebuie rotite după actualizare.”
Administratorii care nu pot implementa imediat actualizările de securitate de astăzi trebuie să restricționeze accesul la rețea al Expedition către utilizatori, gazde sau rețele autorizate.
În aprilie, compania a început să lanseze hotfix-uri pentru o defecțiune cu severitate maximă de zero-day care fusese exploatată activ din martie de un actor de amenințare susținut de stat urmărit ca UTA0218 pentru a introduce în mod clandestin backdoor-uri în firewall-urile PAN-OS.
Hackerii vizează WhatsUp Gold cu exploit public din august
Defect critic WhatsUp RCE Progress acum sub exploatare activă
Codul de exploit a fost lansat pentru defectul critic de RCE Ivanti, acum remediat
Defectul critic de RCE Zimbra a fost exploatat pentru a introduce în mod clandestin backdoor-uri în servere folosind e-mailuri
Defectul critic de bypassare a autentificării Ivanti vTM este acum exploatat în atacuri
Leave a Reply