Segurança cibernética

CISA destaca falhas críticas no Palo Alto Expedition em novo alerta

CISA inclui vulnerabilidades críticas do Palo Alto Networks Expedition em seu catálogo de vulnerabilidades exploradas, destacando falhas como injeção de comandos e SQL, com potencial de comprometimento de firewalls PAN-OS.

Segurança de dados CISA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) atualizou seu catálogo de vulnerabilidades exploradas conhecidas (KEV) com falhas críticas no Palo Alto Networks Expedition, uma ferramenta de migração usada para transferir configurações de firewalls de outras plataformas para o PAN-OS. Essas vulnerabilidades representam um risco significativo para a segurança de redes que utilizam o software.

Detalhes das vulnerabilidades críticas

cisa-confirma-que-o-ambiente-da-sua-ferramenta-de-avaliacao-de-seguranca-quimica-csat-foi-comprometido-em-janeiro

Entre os problemas identificados, destacam-se:

  • CVE-2024-9463 (CVSS 9.9): permite que atacantes executem comandos no sistema operacional com privilégios de root, expondo dados sensíveis, como senhas e chaves de API.
  • CVE-2024-9464 (CVSS 9.3): ataque de injeção de comando autenticado que possibilita o acesso como root e exposição de informações críticas.
  • CVE-2024-9465 (CVSS 9.2): vulnerabilidade de injeção SQL que permite a leitura de conteúdos do banco de dados, como senhas em hash e configurações de dispositivos, além da criação ou leitura de arquivos no sistema.
  • CVE-2024-9466 (CVSS 8.2): falha que permite acesso a informações confidenciais armazenadas em texto simples, como usuários e senhas de firewalls.
  • CVE-2024-9467 (CVSS 7.0): vulnerabilidade de XSS refletido, que possibilita ataques de phishing e roubo de sessões de usuários autenticados.

Essas vulnerabilidades afetam versões anteriores à 1.2.96 do Expedition.

Exploração em cadeia e mitigações

Pesquisadores da Horizon3 identificaram que os ataques podem combinar as falhas CVE-2024-5910 e CVE-2024-9464 para execução de comandos não autenticados. Eles também disponibilizaram indicadores de comprometimento (IOCs) para ajudar na detecção de ataques.

A Palo Alto Networks recomenda:

  1. Restringir o acesso à rede do Expedition a usuários e hosts autorizados.
  2. Para identificar possíveis comprometimentos relacionados ao CVE-2024-9465, execute o comando:bashCopiar códigomysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;" Registros retornados podem indicar comprometimento.

Medidas da CISA e prazo para correções

Segundo a Diretiva Operacional Vinculativa (BOD) 22-01, agências federais devem corrigir essas vulnerabilidades até 5 de dezembro de 2024. A recomendação se estende a empresas privadas que utilizam o Expedition em suas infraestruturas.

Embora ainda não existam relatos de ataques ativos explorando essas falhas, a ação preventiva é crucial para evitar compromissos em larga escala.

Conclusão

A inclusão dessas falhas no catálogo da CISA reforça a importância de corrigir rapidamente os sistemas vulneráveis, protegendo as redes contra potenciais ameaças. Organizações devem priorizar atualizações e implementar as melhores práticas de segurança para minimizar os riscos.