В сряда Palo Alto Networks разпространи кръпки за няколко сериозни недостатъка в своя инструмент за миграция на клиенти Expedition и предупреди, че нападателите могат да използват тривиални експлойти, за да превземат администраторски акаунти на защитната стена.

Уязвимостите, открити и документирани от Horizon3.ai, отварят вратата за нападателите да четат съдържанието на базата данни на Expedition и произволни файлове, както и да записват произволни файлове на временни места за съхранение в системата Expedition.

Според бюлетина на Palo Alto Networks успешен нападател би имал достъп до потребителските имена, паролите с ясен текст, конфигурациите на устройствата и API ключовете на устройствата на защитните стени PAN-OS.

Необработени подробности за поправените уязвимости:

• CVE-2024-9463 (CVSS 9.9) – Уязвимостта в инжектирането на команди в операционната система позволява на неупълномощен нападател да изпълни произволни команди на операционната система като root, разкривайки потребителски имена, пароли с ясен текст, конфигурации на устройства и API ключове на защитните стени PAN-OS.
• CVE-2024-9464 (CVSS 9.3) – Упълномощен нападател може да се възползва от уязвимост за въвеждане на команди в операционната система, за да изпълнява команди на операционната система като root, което води до разкриване на същите данни като при CVE-2024-9463.
• CVE-2024-9465 (CVSS 9.2) – Уязвимостта SQL injection позволява на неупълномощен нападател да получи достъп до съдържанието на базата данни Expedition, включително до потребителските имена и хешовете на паролите. Нападателите могат също така да създават и четат произволни файлове в системата. Публично достъпен е код за доказване на концепцията за този недостатък.
• CVE-2024-9466 (CVSS 8.2) – Уязвимостта в съхранението на чувствителна информация в чист текст позволява на автентикиран нападател да разкрие потребителски имена, пароли и API ключове на защитната стена.
• CVE-2024-9467 (CVSS 7.0) – Отразена уязвимост XSS позволява злонамерено изпълнение на JavaScript в браузъра на автентикиран потребител, което улеснява фишинг атаките и потенциалната кражба на сесии.

Компанията заяви, че уязвимостите засягат версии на Expedition преди 1.2.96.

В допълнение към кръпките Palo Alto Networks настоява клиентите да завъртят всички потребителски имена, пароли и API ключове на Expedition, както и потребителските имена и пароли на защитната стена. Компанията заяви, че мрежовият достъп до Expedition също трябва да бъде ограничен до оторизирани потребители, хостове или мрежи.

Palo Alto Networks увери, че не знае за активна експлоатация на тези уязвимости.

Horizon3.ai публикува код за доказване на концепцията и IoC (индикатори за компрометиране), за да помогне на защитниците да определят признаците на инфекциите.