CISA 对 Palo Alto Networks 中的两个新的严重安全漏洞发出警告

美国网络安全和基础设施安全局 (CISA) 周四就 Palo Alto Networks Expedition 迁移工具中两个关键安全漏洞的主动利用发出警告。

对于那些不知道的人来说，Palo Alto Networks Expedition 是一款帮助将第三方安全供应商（例如 Checkpoint、Cisco 等）的配置迁移到 Palo Alto Networks 的工具。

这两个新缺陷是未经身份验证的命令注入错误（CVE-2024-9463）和 SQL 注入缺陷（CVE-2024-9465）。

第一个缺陷 CVE-2024-9463（CVSS 评分：9.9）是一个操作系统命令注入漏洞，允许未经身份验证的攻击者在 Expedition 中以 root 身份运行任意操作系统命令，从而暴露 PAN-OS 防火墙的用户名、明文密码、设备配置和设备 API 密钥。

另一方面，第二个缺陷 CVE-2024-9465（CVSS 评分：9.2）是 Palo Alto Networks Expedition 中的 SQL 注入漏洞。

此漏洞允许未经身份验证的攻击者泄露 Expedition 数据库内容，例如密码哈希、用户名、设备配置和设备 API 密钥。

攻击者还可以使用它来创建和读取 Expedition 系统上的任意文件。

Palo Alto Networks 在一份报告中写道：“Palo Alto Networks Expedition 中的多个漏洞允许攻击者读取 Expedition 数据库内容和任意文件，以及将任意文件写入 Expedition 系统上的临时存储位置。综合起来，这些漏洞包括用户名、明文密码、设备配置和 PAN-OS 防火墙的设备 API 密钥等信息。这些问题不会影响防火墙、Panorama、Prisma Access 或 Cloud NGFW。”安全咨询十月初出版。

该公司已更新此安全公告，包括以下内容：“Palo Alto Networks 已获悉 CISA 的报告，表明有证据表明 CVE-2024-9463 和 CVE-2024-9465 正在被积极利用。”

Palo Alto Networks 已在 Expedition 1.2.96 及所有更高版本中发布安全更新来解决上述漏洞。

该公司建议无法更新软件的管理员立即限制授权用户、主机或网络对 Expedition 的网络访问。

此外，CISA 于周四将这两个新缺陷添加到其已知可利用漏洞 (KEV) 目录中，并要求联邦机构根据《约束操作指令》(BOD 22-01)，在 12 月 5 日之前修补其网络上的 Palo Alto Networks Expedition 服务器。