CISA bugün, Palo Alto Networks’ün Expedition geçiş aracındaki iki kritik güvenlik açığının daha vahşi ortamda aktif olarak kullanıldığı konusunda uyardı.
Saldırganlar, kimlik doğrulaması yapılmamış iki komut ekleme (CVE-2024-9463) ve SQL ekleme (CVE-2024-9465) güvenlik açıklarını kullanarak şirketin Checkpoint, Cisco ve diğer desteklenen yapılandırmalardan geçişine yardımcı olan Expedition geçiş aracını çalıştıran yama uygulanmamış sistemlere girebilir. Satıcılar.
CVE-2024-9463, saldırganların kullanıcı adlarını, şifresiz metin şifrelerini, cihaz yapılandırmalarını ve PAN-OS güvenlik duvarlarının cihaz API anahtarlarını açığa çıkararak rastgele işletim sistemi komutlarını root olarak çalıştırmasına izin verirken, ikinci kusurdan Expedition veritabanı içeriklerine (şifre karmaları dahil) erişmek için yararlanılabilir. , kullanıcı adları, cihaz yapılandırmaları ve cihaz API anahtarları) ve savunmasız sistemlerde rastgele dosyalar oluşturabilir veya okuyabilir.
Palo Alto Networks, Expedition 1.2.96 ve sonrasında bu sorunları gideren güvenlik güncellemelerini yayınlıyor. Şirket, yazılımı hemen güncelleyemeyen yöneticilere, Expedition ağ erişimini yetkili kullanıcılar, ana bilgisayarlar veya ağlarla kısıtlamalarını tavsiye ediyor.
Palo Alto Networks, Ekim ayı başlarında yayınlanan bir güvenlik tavsiyesinde, “Palo Alto Networks Expedition’daki birden fazla güvenlik açığı, bir saldırganın Expedition veritabanı içeriklerini ve rastgele dosyaları okumasının yanı sıra, Expedition sistemindeki geçici depolama konumlarına rastgele dosyalar yazmasına da olanak tanıyor.” diye ekledi. Müşterileri, saldırganların bu güvenlik açıklarından yararlandığı konusunda uyarmak için güncellenmesi gerekiyor.
“Birleşik olarak bunlar, kullanıcı adları, açık metin şifreleri, cihaz yapılandırmaları ve PAN-OS güvenlik duvarlarının cihaz API anahtarları gibi bilgileri içerir.”
“Tüm Expedition kullanıcı adları, şifreleri ve API anahtarları, Expedition’ın sabit sürümüne yükseltildikten sonra döndürülmelidir. Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarları, güncelleme sonrasında döndürülmelidir.” güvenlik duvarı, Panorama, Prisma Access ve Cloud NGFW ürünlerini etkilemez.
Federal kurumlara üç hafta içinde yama yapılması talimatı verildi
Perşembe günü CISA, iki güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekleyerek federal kurumlara, bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde 5 Aralık’a kadar üç hafta içinde Palo Alto Networks Expedition sunucularını ağlarında yamalamalarını emretti.
Bir hafta önce siber güvenlik kurumu, Temmuz ayında yamalanan ve tehdit aktörlerinin uygulama yöneticisi kimlik bilgilerini sıfırlamasına olanak tanıyan kritik bir eksik kimlik doğrulama güvenlik açığının (CVE-2024-5910) saldırılarda aktif olarak kötüye kullanıldığı başka bir Expedition güvenlik kusuru konusunda uyardı.
CISA, devam eden bu saldırılar hakkında henüz daha fazla bilgi sağlamamış olsa da, Horizon3.ai güvenlik açığı araştırmacısı Zach Hanley tarafından geçen ay yayımlanan kavram kanıtlama yararlanma kodu, CVE-2024-5910’un başka bir komut enjeksiyon güvenlik açığıyla (CVE-2024-) zincirlenmesine yardımcı olabilir. 9464), savunmasız ve İnternet’e açık Expedition sunucularında “kimliği doğrulanmamış” rastgele komut yürütme elde etmek için Ekim ayında yama uyguladı.
CVE-2024-9464, güvenlik duvarı yönetici hesaplarını ele geçirmek ve yama yapılmamış PAN-OS güvenlik duvarlarını ele geçirmek için diğer Expedition kusurlarıyla (yine geçen ay ele alındı) zincirlenebilir.