Vulnerabilidades Críticas en Herramienta de Migración Expedition de Palo Alto Networks.

Palo Alto Networks ha lanzado recientemente un boletín de seguridad (PAN-SA-2024-0010) en el que detalla varias vulnerabilidades de alta gravedad que afectan a su herramienta de migración Expedition. Estas vulnerabilidades presentan un riesgo significativo para las organizaciones que dependen de los firewalls de Palo Alto Networks, ya que podrían permitir la toma de control de cuentas de administradores y exponer información sensible, como nombres de usuario, contraseñas en texto claro y claves API de firewalls PAN-OS. Las vulnerabilidades incluyen inyección de comandos del sistema operativo (OS), inyección SQL y almacenamiento en texto claro de información sensible.

  • CVE-2024-9463 (CVSS 9.9): Vulnerabilidad de inyección de comandos del sistema operativo que permite a un atacante no autenticado ejecutar comandos arbitrarios como root, exponiendo nombres de usuario, contraseñas y claves API de firewalls.
  • CVE-2024-9464 (CVSS 9.3): Vulnerabilidad similar de inyección de comandos en el OS, pero que requiere autenticación. Permite a los atacantes autenticados ejecutar comandos del OS como root.
  • CVE-2024-9465 (CVSS 9.2): Vulnerabilidad de inyección SQL que permite a atacantes no autorizados acceder a la base de datos de Expedition, revelando hashes de contraseñas, nombres de usuario, entre otros datos.
  • CVE-2024-9466 (CVSS 8.2): Vulnerabilidad de almacenamiento en texto claro que expone nombres de usuario y contraseñas de los firewalls, lo que representa un riesgo significativo si no se mitiga.
  • CVE-2024-9467 (CVSS 7.0): Vulnerabilidad de XSS reflejado que permite a los atacantes ejecutar JavaScript malicioso a través de ataques de phishing.

Productos y versiones afectadas:

  • Palo Alto Networks Expedition anteriores a la versión 1.2.96.

Solución:

  • Actualizar Palo Alto Networks Expedition a la versión 1.2.96 o posterior.

Recomendaciones:

  • Deshabilitar el software Expedition si no se encuentra en uso.
  • Cambiar todas las credenciales procesadas por Expedition después de la actualización.
  • Limitar el acceso de red a Expedition solo a usuarios autorizados para minimizar el riesgo de exposición.
  • Buscar un indicador de compromiso con el siguiente comando en un sistema Expedition: mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;" Si el comando devuelve registros, esto podría indicar una posible vulneración.

Referencias: