Palo Alto Networks advirtió a sus clientes que parcheen las vulnerabilidades de seguridad (con código de explotación público) que pueden encadenarse para permitir a los atacantes secuestrar los firewalls PAN-OS y catalogados como críticos (CVSS 9.9).
Las fallas se encontraron en la solución Expedition de Palo Alto Networks, que ayuda a migrar configuraciones de otros Checkpoint, Cisco o proveedores compatibles.
Pueden explotarse para acceder a datos confidenciales, como credenciales de usuario, que pueden ayudar a hacerse cargo de las cuentas de administrador del firewall.
"Múltiples vulnerabilidades en Palo Alto Networks Expedition permiten a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema Expedition", dijo la compañía en un aviso publicado el miércoles. "Combinados, estos incluyen información como nombres de usuario, contraseñas de texto sin cifrar, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS".
Estos errores son una combinación de inyección de comandos, XSS reflejados, almacenamiento de texto sin cifrar de información confidencial, falta de autenticación y vulnerabilidades de inyección SQL:
- CVE-2024-9463: vulnerabilidad de inyección de comandos, sin autenticación
- CVE-2024-9464: vulnerabilidad de inyección de comando, con autenticación
- CVE-2024-9465: vulnerabilidad de inyección SQL, sin autenticación
- CVE-2024-9466: credenciales de texto sin cifrar almacenadas en registros
- CVE-2024-9467: vulnerabilidad XSS reflejado, sin autenticación
Explotación de prueba de concepto disponible
El investigador de vulnerabilidades de Horizon3.ai, Zach Hanley, que encontró e informó cuatro de los errores, también publicó un análisis de la causa raíz que detalla cómo encontró tres de estos fallos mientras investigaba la vulnerabilidad CVE-2024-5910 (revelada y parcheada en julio), que permite a los atacantes restablecer las credenciales de administrador de la aplicación Expedition.
Hanley también publicó un exploit de prueba de concepto que encadena la falla de reinicio del administrador CVE-2024-5910 con la vulnerabilidad de inyección de comandos CVE-2024-9464 para obtener la ejecución de comandos arbitrarios "no autenticados" en servidores Expedition vulnerables.
Palo Alto Networks dice que, por el momento, no hay pruebas de que los fallos de seguridad hayan sido aprovechados en ataques.
"Las correcciones para todos los problemas enumerados están disponibles en Expedition 1.2.96 y en todas las versiones posteriores de Expedition. El archivo de texto sin cifrar afectado por CVE-2024-9466 se eliminará automáticamente durante la actualización", agregó hoy Palo Alto Networks.
"Todos los nombres de usuario, contraseñas y claves API de Expedition deben rotarse después de actualizar a la versión fija de Expedition. Todos los nombres de usuario, contraseñas y claves API del firewall procesados por Expedition deben rotarse después de la actualización".
Los administradores que no puedan implementar inmediatamente las actualizaciones de seguridad de hoy deben restringir el acceso a la red de Expedition a usuarios, hosts o redes autorizados.
En abril, la compañía comenzó a publicar revisiones para un error de día cero de gravedad máxima que había sido explotado activamente desde marzo por un actor de amenazas respaldado por el estado rastreado como UTA0218 para los firewalls PAN-OS de puerta trasera.
Fuente: BC