Date de divulgation : 10 juillet 2024
Date d'ajout au CISA KEV : 7 octobre 2024
CVE-2024-5910 est une vulnérabilité critique dans les versions d'Expedition de Palo Alto Networks antérieures à 1.2.92 qui permet potentiellement à des attaquants non authentifiés ayant un accès au réseau de prendre le contrôle d'un compte administrateur Expedition. à des attaquants non authentifiés disposant d'un accès au réseau de prendre le contrôle d'un compte administrateur Expedition.. Cet accès non autorisé pourrait conduire à l'exposition de secrets de configuration, d'informations d'identification et d'autres données sensibles stockées dans Expedition. Palo Alto Networks a attribué à cette vulnérabilité un score CVSS de 9.3.
Expedition est un outil de migration et de gestion de la configuration utilisé pour convertir les configurations de divers autres fournisseurs de pare-feu en PAN-OS de Palo Alto Networks. En raison de sa manipulation de données de configuration réseau sensibles, l'exploitation d'Expedition pourrait entraîner d'autres compromissions sur le réseau d'une organisation.
Exemple d'interface de connexion à Expedition
Les acteurs de la menace qui exploitent CVE-2024-5910 peuvent prendre le contrôle des comptes administrateurs d'Expedition, réinitialiser les identifiants, et potentiellement accéder ou exfiltrer des données stockées dans l'outil. En outre, cette vulnérabilité peut être enchaînée avec CVE-2024-9464Cette vulnérabilité permet aux attaquants de passer d'une compromission initiale à une exécution de code à distance non authentifiée (RCE).
Les organisations qui utilisent Expedition, en particulier dans les environnements exposés à Internet, doivent immédiatement revoir leurs configurations de sécurité et appliquer des correctifs à leurs instances si possible. Les administrateurs de réseau peuvent utiliser la requête de recherche Censys fournie ci-dessous pour aider à suivre les instances d'Expedition exposées.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-5910 - CVSS 9.3 (Critique) attribué par Palo Alto Networks |
| Description de la vulnérabilité |
L'absence d'authentification dans une fonction critique d'Expedition permet la prise de contrôle d'un compte administrateur non autorisé. |
| Date de la divulgation |
10 juillet 2024 |
| Actifs touchés |
Palo Alto Networks Expedition |
| Versions de logiciels vulnérables |
Toutes les versions antérieures à 1.2.92 |
| PoC disponible ? |
Oui, un PoC est disponible sur GitHub démontrant comment cette CVE peut être enchaînée avec la CVE-2024-9464 pour obtenir un RCE |
| Statut d'exploitation |
Exploitation active observée ; CISA a ajouté CVE-2024-5910 à son catalogue KEV le 7 novembre 2024. GreyNoise n'a pas observé de tentatives de prise de contrôle du compte CVE-2024-5910 sur ses capteurs au cours des 30 derniers jours. |
| Statut du patch |
Un correctif est disponible dans la version 1.2.92. Veuillez vous référer à l'avis de l'avis de Palo Alto Networks de Palto Alto Networks pour les instructions relatives au correctif. |
Censys Perspective
Censys a identifié 45 des cas d'Expedition exposés au public. Il est à noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques des appareils ne sont pas disponibles.
Il est recommandé aux organisations de limiter l'exposition publique à l'internet de l'interface de leur outil Expedition et de la sécuriser par de solides contrôles d'accès au réseau.
En raison du nombre relativement faible d'appareils concernés exposés en ligne, Censys ne partagera pas publiquement les requêtes relatives aux expositions de l'Expedition pour le moment.
Références
- https://nvd.nist.gov/vuln/detail/CVE-2024-5910
- https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/
- https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise
- https://security.paloaltonetworks.com/CVE-2024-5910
- https://security.paloaltonetworks.com/PAN-SA-2024-0010
