CISA a avertizat astăzi că două vulnerabilități critice de securitate în instrumentul de migrație Expedition al Palo Alto Networks sunt acum exploatate activ în sălbăticie.
Atacatorii pot folosi cele două vulnerabilități de injectare a comenzilor neautentificate (CVE-2024-9463) și de injectare SQL (CVE-2024-9465) pentru a sparge sistemele nepatchate care rulează instrumentul de migrație Expedition al companiei, care ajută la migrația configurațiilor de la Checkpoint, Cisco și alte furnizori suportați.
În timp ce CVE-2024-9463 le permite atacatorilor să ruleze comenzi OS arbitrare ca root, expunând numele de utilizator, parolele în text clar, configurațiile dispozitivelor și cheile API ale dispozitivelor de tip PAN-OS, a doua problemă poate fi exploatată pentru a accesa conținutul bazei de date Expedition (inclusiv hash-urile de parole, numele de utilizator, configurațiile dispozitivelor și cheile API ale dispozitivelor) și pentru a crea sau citi fișiere arbitrare pe sistemele vulnerabile.
Palo Alto Networks livrează actualizări de securitate care abordează aceste probleme în Expedition 1.2.96 și mai târziu. Compania sfătuiește administratorii care nu pot actualiza imediat software-ul să restricționeze accesul rețelei Expedition la utilizatori, gazde sau rețele autorizate.
„Mai multe vulnerabilități în Palo Alto Networks Expedition permit unui atacator să citească conținutul bazei de date Expedition și fișiere arbitrare, precum și să scrie fișiere arbitrare în locațiile de stocare temporară de pe sistemul Expedition”, a adăugat Palo Alto Networks într-un avertisment de securitate publicat la începutul lunii octombrie care trebuie actualizat pentru a avertiza clienții că atacatorii exploatează aceste vulnerabilități în sălbăticie.
„În combinație, acestea includ informații cum ar fi numele de utilizator, parolele în text clar, configurațiile dispozitivelor și cheile API ale dispozitivelor PAN-OS”.
„Toate numele de utilizator, parolele și cheile API Expedition ar trebui rotite după actualizarea la versiunea corectată a Expedition. Toate numele de utilizator, parolele și cheile API ale firewall-urilor procesate de Expedition ar trebui rotite după actualizare”, a adăugat, spunând că aceste probleme de securitate nu afectează firewall-ul său, Panorama, Prisma Access și produsele Cloud NGFW.
Joi, CISA a adăugat cele două vulnerabilități în Catalogul de Vulnerabilități Exploatate Cunoscute, cerând agențiilor federale să patch-uiască serverele Palo Alto Networks Expedition de pe rețelele lor în termen de trei săptămâni, până la 5 decembrie, conform directivei operaționale obligatorii (BOD 22-01).
Cu o săptămână în urmă, agenția de securitate cibernetică a avertizat de o altă problemă de securitate a Expedition—o vulnerabilitate critică de autentificare lipsă (CVE-2024-5910) patch-uită în iulie care poate permite actorilor de amenințări să reseteze credențialele de administrație ale aplicației—exploatată activ în atacuri.
Chiar dacă CISA încă nu a furnizat mai multe informații despre aceste atacuri în curs, codul de exploit de concept de probă lansat de cercetătorul de vulnerabilități Horizon3.ai, Zach Hanley, luna trecută, poate ajuta la înlănțuirea CVE-2024-5910 cu o altă vulnerabilitate de injecție a comenzilor (CVE-2024-9464) patch-uită în octombrie pentru a obține execuție de comandă arbitrare „neautentificată” pe serverele Expedition vulnerabile și expuse pe internet.
CVE-2024-9464 poate fi înlănțuit cu alte probleme Expedition (de asemenea abordate luna trecută) pentru a prelua conturile de administrație ale firewall-ului și a fura firewall-urile PAN-OS nepatch-uite.
CISA avertizează de o vulnerabilitate critică a Palo Alto Networks exploatată în atacuri
Palo Alto Networks avertizează de vulnerabilitatea potențială de execuție a comenzilor la distanță a PAN-OS
Palo Alto Networks avertizează de bug-uri de furt de firewall cu exploit public
Defectul SolarWinds Web Help Desk este acum exploatat în atacuri
CISA spune că vulnerabilitatea critică de execuție a comenzilor la distanță a Fortinet este acum exploatată în atacuri
Leave a Reply