Palo Alto Networks hari ini memperingatkan pelanggannya untuk menambal kerentanan keamanan (dengan kode eksploitasi publik) yang dapat dirantai agar penyerang dapat membajak firewall PAN-OS.
Kelemahan tersebut ditemukan pada solusi Ekspedisi Palo Alto Networks, yang membantu memigrasi konfigurasi dari Checkpoint lain, Cisco, atau vendor yang didukung.
Mereka dapat dieksploitasi untuk mengakses data sensitif, seperti kredensial pengguna, yang dapat membantu mengambil alih akun admin firewall.
“Beberapa kerentanan di Palo Alto Networks Expedition memungkinkan penyerang membaca konten database Ekspedisi dan file arbitrer, serta menulis file arbitrer ke lokasi penyimpanan sementara di sistem Ekspedisi,” perusahaan tersebut dikatakan dalam sebuah nasihat yang diterbitkan pada hari Rabu.
“Jika digabungkan, ini mencakup informasi seperti nama pengguna, kata sandi teks jelas, konfigurasi perangkat, dan kunci API perangkat firewall PAN-OS.”
Bug ini adalah kombinasi dari injeksi perintah, skrip lintas situs (XSS) yang tercermin, penyimpanan teks jelas untuk informasi sensitif, autentikasi yang hilang, dan kerentanan injeksi SQL:
- CVE-2024-9463 (kerentanan injeksi perintah yang tidak diautentikasi)
- CVE-2024-9464 (kerentanan injeksi perintah yang diautentikasi)
- CVE-2024-9465 (kerentanan injeksi SQL yang tidak diautentikasi)
- CVE-2024-9466 (kredensial cleartext disimpan dalam log)
- CVE-2024-9467 (kerentanan XSS yang tidak diautentikasi tercermin)
Eksploitasi bukti konsep tersedia
Peneliti kerentanan Horizon3.ai, Zach Hanley, yang menemukan dan melaporkan empat bug, juga telah melakukannya menerbitkan artikel analisis akar permasalahan yang merinci bagaimana dia menemukan tiga kelemahan ini saat meneliti kerentanan CVE-2024-5910 (diungkapkan dan ditambal pada bulan Juli), yang memungkinkan penyerang menyetel ulang kredensial admin aplikasi Ekspedisi.
Hanley juga merilis a eksploitasi bukti konsep yang mengaitkan kelemahan pengaturan ulang admin CVE-2024-5910 dengan kerentanan injeksi perintah CVE-2024-9464 untuk mendapatkan eksekusi perintah sewenang-wenang yang “tidak diautentikasi” pada server Ekspedisi yang rentan.
Palo Alto Networks mengatakan, untuk saat ini, tidak ada bukti bahwa kelemahan keamanan telah dieksploitasi dalam serangan.
“Perbaikan untuk semua masalah yang tercantum tersedia di Ekspedisi 1.2.96, dan semua versi Ekspedisi yang lebih baru. File teks jelas yang terpengaruh oleh CVE-2024-9466 akan dihapus secara otomatis selama peningkatan,” tambah Palo Alto Networks hari ini.
“Semua nama pengguna, kata sandi, dan kunci API Ekspedisi harus dirotasi setelah memutakhirkan ke versi Ekspedisi yang tetap. Semua nama pengguna firewall, kata sandi, dan kunci API yang diproses oleh Ekspedisi harus dirotasi setelah diperbarui.”
Admin yang tidak dapat segera menerapkan pembaruan keamanan hari ini harus membatasi akses jaringan Ekspedisi hanya untuk pengguna, host, atau jaringan yang sah.
Pada bulan April, perusahaan mulai merilis perbaikan terbaru untuk a bug zero-day dengan tingkat keparahan maksimum yang telah dieksploitasi secara aktif sejak bulan Maret oleh aktor ancaman yang didukung negara yang dilacak sebagai UTA0218 ke pintu belakang firewall PAN-OS.
