Palo Alto Networks: PoC pubblico per lo sfruttamento di vulnerabilità in prodotti firewall

Vulnerabilità coinvolte
Le vulnerabilità in questione sono state scoperte nello strumento Expedition di Palo Alto Networks, utilizzato per la migrazione dei clienti.

Le principali vulnerabilità includono:

•     CVE-2024-9463 (CVSS 9.9): Consente a un attaccante non autenticato di eseguire comandi arbitrari come root.
•     CVE-2024-9464 (CVSS 9.3): Permette a un attaccante autenticato di eseguire comandi come root.
•     CVE-2024-9465 (CVSS 9.2): Consente l'accesso non autorizzato al database di Expedition.
•     CVE-2024-9466 (CVSS 8.2): Espone informazioni sensibili memorizzate in chiaro.

Impatto potenziale
Lo sfruttamento di queste vulnerabilità potrebbe consentire agli attaccanti di:

•     Accedere a nomi utente, password in chiaro, configurazioni dei dispositivi e chiavi API dei firewall PAN-OS3    .
•     Eseguire codice arbitrario con privilegi di root sui sistemi compromessi.
•     Leggere e scrivere file arbitrari sul sistema Expedition.

Versioni affette
Le vulnerabilità impattano le versioni di Expedition precedenti alla 1.2.96.

Disponibilità del PoC
Horizon3.ai ha pubblicato un proof-of-concept e indicatori di compromissione (IoC) per aiutare i difensori a identificare potenziali attacchi.
La disponibilità pubblica di questo PoC aumenta significativamente il rischio di sfruttamento da parte di attori malevoli.

Fonti: CSIRT Italia, Securityweek, Horizon3