หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำเตือนเมื่อวันพฤหัสบดีเกี่ยวกับการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่สำคัญสองรายการในเครื่องมือย้ายข้อมูล Expedition ของ Palo Alto Networks
สำหรับผู้ที่ไม่รู้ Palo Alto Networks Expedition เป็นเครื่องมือที่ช่วยย้ายการกำหนดค่าจากผู้จำหน่ายระบบรักษาความปลอดภัยบุคคลที่สาม เช่น Checkpoint, Cisco และอื่นๆ ไปยัง Palo Alto Network
ข้อบกพร่องใหม่สองประการคือข้อผิดพลาดในการฉีดคำสั่งที่ไม่ได้รับการรับรองความถูกต้อง (CVE-2024-9463) และข้อบกพร่องการฉีด SQL (CVE-2024-9465-
ข้อบกพร่องแรก CVE-2024-9463 (คะแนน CVSS: 9.9) คือช่องโหว่การแทรกคำสั่ง OS ที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเรียกใช้คำสั่งระบบปฏิบัติการตามอำเภอใจในฐานะรูทใน Expedition เปิดเผยชื่อผู้ใช้ รหัสผ่านข้อความที่ชัดเจน การกำหนดค่าอุปกรณ์ และคีย์ API ของอุปกรณ์ ของไฟร์วอลล์ PAN-OS
ในทางกลับกัน ข้อบกพร่องประการที่สอง CVE-2024-9465 (คะแนน CVSS: 9.2) คือช่องโหว่การแทรก SQL ใน Palo Alto Networks Expedition
ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเปิดเผยเนื้อหาในฐานข้อมูล Expedition ได้ เช่น แฮชรหัสผ่าน ชื่อผู้ใช้ การกำหนดค่าอุปกรณ์ และคีย์ API ของอุปกรณ์
ผู้โจมตีสามารถใช้สิ่งนี้เพื่อสร้างและอ่านไฟล์ตามอำเภอใจในระบบ Expedition
“ช่องโหว่หลายประการใน Palo Alto Networks Expedition ทำให้ผู้โจมตีสามารถอ่านเนื้อหาฐานข้อมูล Expedition และไฟล์ที่กำหนดเองได้ เช่นเดียวกับการเขียนไฟล์ที่กำหนดเองไปยังตำแหน่งจัดเก็บข้อมูลชั่วคราวบนระบบ Expedition เมื่อรวมกันแล้ว รวมถึงข้อมูลต่างๆ เช่น ชื่อผู้ใช้ รหัสผ่านข้อความที่ชัดเจน การกำหนดค่าอุปกรณ์ และคีย์ API อุปกรณ์ของไฟร์วอลล์ PAN-OS ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อไฟร์วอลล์, Panorama, Prisma Access หรือ Cloud NGFW” Palo Alto Networks เขียนในคำแนะนำด้านความปลอดภัยเผยแพร่เมื่อต้นเดือนตุลาคม
บริษัทได้อัปเดตคำแนะนำด้านความปลอดภัยนี้เพื่อรวมสิ่งต่อไปนี้: “Palo Alto Networks ทราบรายงานจาก CISA ว่ามีหลักฐานของการใช้ประโยชน์อย่างแข็งขันสำหรับ CVE-2024-9463 และ CVE-2024-9465”
Palo Alto Networks ได้เปิดตัวการอัปเดตความปลอดภัยใน Expedition 1.2.96 และเวอร์ชันที่ใหม่กว่าทั้งหมดเพื่อแก้ไขช่องโหว่ข้างต้น
บริษัทขอแนะนำให้ผู้ดูแลระบบไม่สามารถอัปเดตซอฟต์แวร์ได้ทันทีโดยจำกัดการเข้าถึงเครือข่ายไปยัง Expedition สำหรับผู้ใช้ โฮสต์ หรือเครือข่ายที่ได้รับอนุญาต
นอกจากนี้ CISA ได้เพิ่มข้อบกพร่องสองประการใหม่ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) ในวันพฤหัสบดี และกำหนดให้หน่วยงานรัฐบาลกลางทำแพทช์เซิร์ฟเวอร์ Palo Alto Networks Expedition บนเครือข่ายภายในวันที่ 5 ธันวาคม ซึ่งสอดคล้องกับ Binding Operational Directive (BOD 22-01 ).
