Palo Alto Networks ha avisado a sus clientes que actualicen las vulnerabilidades de seguridad (con exploit público) que pueden encadenarse para permitir a los atacantes secuestrar el firewall con PAN-OS.
Se encontraron vulnerabilidades en la solución Expedition de Palo Alto Networks, que ayuda a migrar configuraciones desde otros proveedores compatibles como Checkpoint o Cisco.
Estas vulnerabilidades se pueden explotar para acceder a datos sensibles, como credenciales de usuarios, que pueden ayudar a tomar el control de las cuentas de administrador.
«Varias vulnerabilidades en Palo Alto Networks Expedition permiten a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema Expedition».
«En conjunto, estas vulnerabilidades incluyen información como nombres de usuario, contraseñas en texto claro, configuraciones de dispositivos y claves API de dispositivos de cortafuegos PAN-OS».
Estos errores son una combinación de command injection, reflected cross-site scripting (XSS), almacenamiento en texto plano de información sensible, falta de autenticación y vulnerabilidades de inyección SQL:
- CVE-2024-9463 (vulnerabilidad de inyección de comandos sin autenticación)
- CVE-2024-9464 (vulnerabilidad de inyección de comandos con autenticación)
- CVE-2024-9465 (vulnerabilidad de inyección SQL sin autenticación)
- CVE-2024-9466 (credenciales en texto claro almacenadas en los registros)
- CVE-2024-9467 (vulnerabilidad de XSS reflejado sin autenticación)
PoC disponible
Zach Hanley, investigador de vulnerabilidades de Horizon3.ai que encontró y reportó cuatro de los fallos, también publicó un análisis de la causa raíz que detalla cómo encontró tres de estos fallos mientras investigaba la vulnerabilidad CVE-2024-5910 (divulgada y parcheada en julio), que permite a los atacantes restablecer las credenciales de administrador de la aplicación Expedition.
Hanley también lanzó una PoC que encadena el fallo de restablecimiento de administrador CVE-2024-5910 con la vulnerabilidad de inyección de comandos CVE-2024-9464 para lograr la ejecución «no autenticada» de comandos arbitrarios en servidores Expedition vulnerables.
Palo Alto Networks afirma que, por el momento, no hay evidencia de que las vulnerabilidades de seguridad hayan sido explotadas en ataques.
«Las correcciones para todos las vulnerabilidades están disponibles en Expedition 1.2.96 y en todas las versiones posteriores de Expedition. El archivo en texto claro afectado por CVE-2024-9466 será eliminado automáticamente durante la actualización».
«Todos los nombres de usuario, contraseñas y claves API de Expedition deben rotarse después de actualizar a la versión corregida de Expedition. Todos los nombres de usuario, contraseñas y claves API de los cortafuegos procesados por Expedition deben rotarse después de la actualización».
Los administradores que no puedan desplegar inmediatamente las actualizaciones de seguridad de hoy deben restringir el acceso a la red de Expedition a usuarios, hosts o redes autorizados.