Fecha de divulgación: 10 de julio de 2024
Fecha de adición a CISA KEV: 7 de octubre de 2024
CVE-2024-5910 es una vulnerabilidad crítica en las versiones de Expedition de Palo Alto Networks anteriores a la 1.2.92 que permite potencialmente a atacantes no autenticados con acceso a la red obtener el control de una cuenta de administrador de Expedition. Este acceso no autorizado podría dar lugar a la exposición de secretos de configuración, credenciales y otros datos confidenciales almacenados en Expedition. Palo Alto Networks asignó a esta vulnerabilidad una puntuación CVSS de 9,3.
Expedition es una herramienta de gestión de migración y configuración utilizada para convertir configuraciones de otros proveedores de cortafuegos en PAN-OS de Palo Alto Networks. Debido a su manejo de datos confidenciales de configuración de red, la explotación de Expedition podría dar lugar a nuevos compromisos a través de la red de una organización.
Ejemplo de interfaz de inicio de sesión de Expedition
Las amenazas que aprovechan la vulnerabilidad CVE-2024-5910 pueden hacerse con el control de las cuentas de administrador de Expedition, restablecer las credenciales y, potencialmente, acceder a los datos almacenados en la herramienta o filtrarlos. Además, esta vulnerabilidad puede encadenarse con CVE-2024-9464una vulnerabilidad de inyección de comando autenticado en Expedition, permitiendo a los atacantes escalar desde un compromiso inicial a la ejecución remota de código no autenticado (RCE).
Las organizaciones que utilizan Expedition, especialmente en entornos expuestos a Internet, deben revisar sus configuraciones de seguridad inmediatamente y parchear sus instancias si es posible. Los administradores de red pueden utilizar la consulta de búsqueda Censys que se proporciona a continuación para ayudar a rastrear las instancias de Expedition expuestas.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-5910 - CVSS 9.3 (Crítico) asignado por Palo Alto Networks |
| Descripción de la vulnerabilidad |
La falta de autenticación en una función crítica dentro de Expedition permite la toma de posesión no autorizada de una cuenta de administrador. |
| Fecha de divulgación |
10 de julio de 2024 |
| Activos afectados |
Expedición de Palo Alto Networks |
| Versiones de software vulnerables |
Todas las versiones anteriores a 1.2.92 |
| ¿PoC disponible? |
Sí, hay una PoC disponible en GitHub que demuestra cómo esta CVE puede encadenarse con CVE-2024-9464 para lograr RCE |
| Estado de explotación |
Explotación activa observada; CISA añadió CVE-2024-5910 a su catálogo KEV el 7 de noviembre de 2024. GreyNoise no ha observado intentos de toma de control de cuentas CVE-2024-5910 en sus sensores en los últimos 30 días. |
| Estado del parche |
Hay un parche disponible en la versión 1.2.92. Consulte el Aviso de Palo Alto Networks para obtener instrucciones sobre el parche. |
Censys Perspectiva
Censys ha identificado 45 casos de Expedición expuestos públicamente. Tenga en cuenta que no todas ellas son necesariamente vulnerables, ya que no se dispone de las versiones específicas de los dispositivos.
Se recomienda que las organizaciones limiten la exposición pública a Internet de la interfaz de su herramienta Expedition y la protejan con fuertes controles de acceso a la red.
Debido al número relativamente pequeño de dispositivos afectados expuestos en línea, Censys no compartirá públicamente las consultas para las exposiciones de Expedition en este momento.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2024-5910
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/
- https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise
- https://security.paloaltonetworks.com/CVE-2024-5910
- https://security.paloaltonetworks.com/PAN-SA-2024-0010
