Sicurezza Informatica
Vulnerabilità Expedition di Palo Alto Networks sfruttata attivamente
Nuove vulnerabilità critiche in Expedition di Palo Alto Networks sfruttate attivamente. CISA impone aggiornamenti per proteggere sistemi e dati sensibili.
Il Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un nuovo avviso su due vulnerabilità critiche nel tool di migrazione Expedition di Palo Alto Networks. Entrambe sono già sfruttate attivamente dagli attaccanti, mettendo a rischio i sistemi non aggiornati.
Introduzione alle vulnerabilità
Le falle identificate sono una vulnerabilità di injection di comandi non autenticati (CVE-2024-9463) e una di SQL injection (CVE-2024-9465). Il tool Expedition, utilizzato per migrare configurazioni da fornitori come Checkpoint e Cisco, è il bersaglio principale.
CVE-2024-9463 consente agli attaccanti di eseguire comandi arbitrari come root, esponendo dati critici come nomi utente, password in chiaro e chiavi API dei firewall PAN-OS. CVE-2024-9465, invece, permette accesso al database di Expedition, compresi hash delle password e configurazioni, oltre a consentire la lettura e scrittura di file arbitrari sui sistemi vulnerabili.
Misure di mitigazione e aggiornamenti
Palo Alto Networks ha rilasciato aggiornamenti di sicurezza nella versione 1.2.96 di Expedition, invitando gli amministratori a:
- Aggiornare immediatamente il software.
- Limitare l’accesso di rete a Expedition solo a utenti autorizzati e reti sicure.
Inoltre, l’azienda consiglia di cambiare tutte le credenziali e le chiavi API dei firewall dopo l’aggiornamento. Questi problemi non interessano i firewall, Panorama, Prisma Access e Cloud NGFW di Palo Alto Networks.
Ordine alle agenzie federali: aggiornamenti obbligatori
CISA ha aggiunto le vulnerabilità al proprio catalogo di exploit noti, imponendo alle agenzie federali di correggere i server Expedition vulnerabili entro il 5 dicembre. Questa direttiva, prevista dal BOD 22-01, sottolinea l’urgenza di proteggere i sistemi da exploit noti.
Contesto e tecniche degli attacchi
Le vulnerabilità segnalate seguono un altro problema critico di Expedition (CVE-2024-5910), che consente agli attaccanti di resettare credenziali admin senza autenticazione. Questa falla può essere combinata con CVE-2024-9464, anch’essa sfruttata attivamente, per ottenere il controllo sui server Expedition e sui firewall PAN-OS esposti.
Le prove di concetto pubblicate da ricercatori come Horizon3.ai evidenziano la semplicità con cui le falle possono essere concatenate per eseguire comandi arbitrari e prendere il controllo di sistemi vulnerabili.