A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) atualizou seu catálogo de vulnerabilidades exploradas conhecidas (KEV) com falhas críticas no Palo Alto Networks Expedition, uma ferramenta de migração usada para transferir configurações de firewalls de outras plataformas para o PAN-OS. Essas vulnerabilidades representam um risco significativo para a segurança de redes que utilizam o software.
Detalhes das vulnerabilidades críticas
Entre os problemas identificados, destacam-se:
- CVE-2024-9463 (CVSS 9.9): permite que atacantes executem comandos no sistema operacional com privilégios de root, expondo dados sensíveis, como senhas e chaves de API.
- CVE-2024-9464 (CVSS 9.3): ataque de injeção de comando autenticado que possibilita o acesso como root e exposição de informações críticas.
- CVE-2024-9465 (CVSS 9.2): vulnerabilidade de injeção SQL que permite a leitura de conteúdos do banco de dados, como senhas em hash e configurações de dispositivos, além da criação ou leitura de arquivos no sistema.
- CVE-2024-9466 (CVSS 8.2): falha que permite acesso a informações confidenciais armazenadas em texto simples, como usuários e senhas de firewalls.
- CVE-2024-9467 (CVSS 7.0): vulnerabilidade de XSS refletido, que possibilita ataques de phishing e roubo de sessões de usuários autenticados.
Essas vulnerabilidades afetam versões anteriores à 1.2.96 do Expedition.
Exploração em cadeia e mitigações
Pesquisadores da Horizon3 identificaram que os ataques podem combinar as falhas CVE-2024-5910 e CVE-2024-9464 para execução de comandos não autenticados. Eles também disponibilizaram indicadores de comprometimento (IOCs) para ajudar na detecção de ataques.
Notícias Relacionadas
Segurança digital
Zoom corrige vulnerabilidades críticas que permitiam invasão e vazamento de dados
Em novembro de 2024, o Zoom corrigiu seis vulnerabilidades em sua plataforma, incluindo duas de alta gravidade. As falhas permitiam que invasores remotos escalassem privilégios e acessassem dados confidenciais, representando sérios riscos de segurança para os usuários.
Segurança Cibernética
D-Link não corrigirá vulnerabilidade crítica em 60 mil modems fora de suporte
Modems D-Link fora de suporte possuem vulnerabilidade crítica que permite o controle remoto dos dispositivos. Com quase 60 mil unidades expostas, especialistas recomendam substituição urgente ou restrição de acesso remoto.
A Palo Alto Networks recomenda:
- Restringir o acesso à rede do Expedition a usuários e hosts autorizados.
- Para identificar possíveis comprometimentos relacionados ao CVE-2024-9465, execute o comando:bashCopiar código
mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"Registros retornados podem indicar comprometimento.
Medidas da CISA e prazo para correções
Segundo a Diretiva Operacional Vinculativa (BOD) 22-01, agências federais devem corrigir essas vulnerabilidades até 5 de dezembro de 2024. A recomendação se estende a empresas privadas que utilizam o Expedition em suas infraestruturas.
Embora ainda não existam relatos de ataques ativos explorando essas falhas, a ação preventiva é crucial para evitar compromissos em larga escala.
Conclusão
A inclusão dessas falhas no catálogo da CISA reforça a importância de corrigir rapidamente os sistemas vulneráveis, protegendo as redes contra potenciais ameaças. Organizações devem priorizar atualizações e implementar as melhores práticas de segurança para minimizar os riscos.
