Datum der Offenlegung: Juli 10, 2024
Datum der Aufnahme in die CISA KEV: Oktober 7, 2024
CVE-2024-5910 ist eine kritische Sicherheitslücke in Palo Alto Networks Expedition Versionen vor 1.2.92, die es möglicherweise nicht authentifizierte Angreifer mit Netzwerkzugang die Kontrolle über ein Expedition-Administratorkonto erlangen können. Dieser unbefugte Zugriff könnte zur Preisgabe von Konfigurationsgeheimnissen, Anmeldeinformationen und anderen sensiblen Daten führen, die in Expedition gespeichert sind. Palo Alto Networks stufte diese Schwachstelle mit dem CVSS-Wert 9.3 ein.
Expedition ist ein Migrations- und Konfigurationsmanagement-Tool, mit dem Konfigurationen für verschiedene andere Firewall-Anbieter in das PAN-OS von Palo Alto Networks konvertiert werden können. Aufgrund seiner Handhabung sensibler Netzwerkkonfigurationsdaten könnte eine Ausnutzung von Expedition zu weiteren Kompromittierungen im Netzwerk eines Unternehmens führen.
Beispiel der Expedition Login-Schnittstelle
Bedrohungsakteure, die CVE-2024-5910 ausnutzen, können die Kontrolle über Expedition-Administratorkonten erlangen, Anmeldedaten zurücksetzen und möglicherweise auf im Tool gespeicherte Daten zugreifen oder diese exfiltrieren. Außerdem kann diese Sicherheitslücke verkettet werden mit CVE-2024-9464einer Schwachstelle in Expedition, die eine authentifizierte Befehlsinjektion ermöglicht, so dass Angreifer von einer anfänglichen Kompromittierung zu einer nicht authentifizierten Remotecodeausführung (RCE) übergehen können.
Unternehmen, die Expedition verwenden, insbesondere in Umgebungen, die dem Internet ausgesetzt sind, sollten ihre Sicherheitskonfigurationen umgehend überprüfen und ihre Instanzen nach Möglichkeit patchen. Netzwerkadministratoren können die unten angegebene Suchabfrage Censys verwenden, um exponierte Expedition-Instanzen aufzuspüren.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-5910 - CVSS 9.3 (kritisch) zugewiesen von Palo Alto Networks |
| Schwachstelle Beschreibung |
Fehlende Authentifizierung in einer kritischen Funktion innerhalb von Expedition ermöglicht die Übernahme eines Admin-Kontos durch Unbefugte. |
| Datum der Offenlegung |
10. Juli 2024 |
| Betroffene Vermögenswerte |
Palo Alto Networks Expedition |
| Anfällige Software-Versionen |
Alle Versionen vor 1.2.92 |
| PoC verfügbar? |
Ja, ein PoC ist auf GitHub verfügbar zur Verfügung, der zeigt, wie dieses CVE mit folgenden CVEs verkettet werden kann CVE-2024-9464 um RCE zu erreichen |
| Verwertungsstatus |
Aktive Ausnutzung beobachtet; CISA hat CVE-2024-5910 am 7. November 2024 in ihren KEV-Katalog aufgenommen. GreyNoise hat in den letzten 30 Tagen keine Kontoübernahmeversuche mit CVE-2024-5910 auf seinen Sensoren beobachtet. |
| Patch-Status |
Ein Patch ist in Version 1.2.92 verfügbar. Bitte beachten Sie den Hinweis von Palo Alto Networks für Anweisungen zum Patch. |
Censys Blickwinkel
Censys hat identifiziert 45 öffentlich zugängliche Expedition-Instanzen. Beachten Sie, dass nicht alle diese Instanzen unbedingt verwundbar sind, da keine spezifischen Geräteversionen verfügbar sind.
Es wird empfohlen, dass Unternehmen die öffentliche Internetpräsenz ihrer Expedition-Tool-Schnittstelle einschränken und sie durch starke Netzwerkzugangskontrollen schützen.
Aufgrund der relativ geringen Anzahl betroffener Geräte, die online exponiert sind, wird Censys zu diesem Zeitpunkt keine Abfragen für Expedition-Exponierungen öffentlich machen.
Referenzen
- https://nvd.nist.gov/vuln/detail/CVE-2024-5910
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/
- https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise
- https://security.paloaltonetworks.com/CVE-2024-5910
- https://security.paloaltonetworks.com/PAN-SA-2024-0010
