Kritické zraniteľnosti Palo Alto Networks Expedition

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú viacero zraniteľností v produkte Expedition. Zraniteľnosti možno zneužiť na SQL injekciu, realizáciu XSS útokov, získanie neoprávneného prístupu k citlivým údajom a čítanie a zápis ľubovoľných súborov na súborovom systéme Expedition. Útočníci môžu získať schopnosť vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad firewallmi s operačným systémom PAN-OS. Spoločnosť po aktualizácii odporúča vykonať aj zmenu prihlasovacích údajov a ďalšieho kryptografického materiálu.

Zraniteľné systémy:

• Palo Alto Networks Expedition verzie staršie ako 1.2.96

Opis činnosti:

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú viacero kritických a vysoko závažných zraniteľností v produkte Expedition. Ich zneužitím môže útočník vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad firewallmi s operačným systémom PAN-OS. Pre zraniteľnosť CVE-2024-9464 je dostupný proof-of-concept kód demonštrujúci získanie možnosti vykonávať systémové príkazy na zraniteľnej inštancii bez autentifikácie po zreťazení so staršou CVE-2024-5910, ktorá umožňuje resetovať administrátorské účty.

CVE-2024-9463 (CVSSv4 skóre 9,9)

Neautentifikovaný útočník môže vykonávať systémové príkazy v Expedition s oprávneniami používateľa root. Môže tak získať prihlasovacie údaje, konfiguráciu a API kľúče firewallov s PAN-OS.

CVE-2024-9464 (CVSSv4 skóre 9,3)

Autentifikovaný útočník môže vykonávať systémové príkazy v Expedition s oprávneniami používateľa root. Môže tak získať prihlasovacie údaje, konfiguráciu a API kľúče firewallov s PAN-OS.

CVE-2024-9465 (CVSSv4 skóre 9,2)

Neautentifikovaný útočník môže v systéme Expedition vykonávať útoky typu SQL injection a získavať citlivé informácie z databázy, vrátane používateľských mien, hashov hesiel a API kľúčov a konfigurácie zariadení. Môže tiež čítať a vytvárať ľubovoľné súbory v Expedition.

CVE-2024-9466 (CVSSv4 skóre 8,2)

Autentifikovaný útočník má v systéme Expedition kvôli nezabezpečenému spôsobu ukladanie citlivých údajov prístup k nešifrovaným prihlasovacím údajom a API kľúčom firewallov.

CVE-2024-9467 (CVSSv4 skóre 7,0)

Na prehliadač systému Expedition je možné urobiť útok typu reflected XSS a úspešne vykonať škodlivý kód JavaScript. Útočník môže ukradnúť reláciu prihláseného používateľa. Obeť musí kliknúť na škodlivý odkaz.

Zraniteľnosti objavili výskumníci Zach Hanley z Horizon3.ai a Enrique Castillo z Palo Alto Networks.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonávanie kódu
• Prevzatie kontroly nad firewallmi

Odporúčania:

Bezodkladná aktualizácia Palo Alto Networks Expedition aspoň na verziu 1.2.96. Spoločnosť po aktualizácii odporúča vykonať aj zmenu prihlasovacích údajov a ďalšieho kryptografického materiálu na Expedition aj firewalle.

Pokiaľ aktualizácia nie je možná, vypnite Expedition alebo obmedzte k nemu prístup na dôveryhodné zdroje.

Overte zneužitie zraniteľnosti CVE-2024-9465 pomocou príkazu mysql -uroot -p -D pandb -e “SELECT * FROM cronjobs; (root predstavuje názov účtu). Záznamy vyhovujúce tomuto dopytu môžu predstavovať dôkaz kompromitácie vášho systému Expedition. Upozorňujeme, že neprítomnosť takýchto záznamov neznamená, že systém nebol kompromitovaný.

Odkazy:

• https://security.paloaltonetworks.com/PAN-SA-2024-0010
• https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-firewall-hijack-bugs-with-public-exploit/