Активно эксплуатируемая уязвимость в Expedition позволяет злоумышленникам получить контроль над учетной записью администратора. Продукт прекращает свое существование в январе.
Специалисты по кибербезопасности собираются на презентацию на стенде Palo Alto Networks на выставочной площадке 27 апреля 2023 года на конференции RSA в Сан-Франциско. Злоумышленники используют критическую уязвимость в инструменте миграции клиентов Palo Alto Networks, сообщило Агентство по кибербезопасности и инфраструктуре 7 ноября 2024 года. Мэтт Капко/Cybersecurity Dive
Краткий обзор погружения:
- Злоумышленники активно используют критическую уязвимость в Palo Alto Networks Expedition, инструменте поставщика безопасности для миграции клиентов от других поставщиков. Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-5910 в свой каталог известных эксплуатируемых уязвимостей в четверг.
- Palo Alto Networks предупредила клиентов об уязвимости в рекомендации по безопасности от 10 июля и выпустила исправление через обновление программного обеспечения. В то время поставщик заявил, что на тот момент не было никаких доказательств активной эксплуатации.
- Отсутствие аутентификации для уязвимости критической функции в Palo Alto Networks Expedition, которая имеет оценку CVSS 9,3, может позволить злоумышленнику получить контроль над учетной записью администратора и получить доступ к секретам конфигурации, учетным данным и другим данным, импортированным в инструмент миграции.
Аналитика погружения:
Злоумышленники эксплуатируют ранее исправленную уязвимость в инструменте миграции Palo Alto Networks ранее заявила, что планирует прекратить поддержку с января. «В настоящее время мы находимся в процессе переноса основных функций инструмента в новые продукты», — заявила компания в июньском сообщении, объявляющем об окончании поддержки Expedition на форуме сообщества.
Palo Alto Networks Expedition позволяет клиентам преобразовывать конфигурацию от Checkpoint, Cisco и других поддерживаемых поставщиков в развертывание PAN-OS.
Palo Alto Networks, крупнейший в мире поставщик решений для кибербезопасности, пытается переманить клиентов у конкурентов. Инициатива, которую она запустила в начале этого года, предлагает клиентам отсрочку платежей, если они консолидируют расходы с компанией, пока ждут истечения срока действия контрактов с конкурирующими фирмами.
Palo Alto Networks обновила свои рекомендации по безопасности для CVE-2024-5910, добавив ссылку на отчет CISA об активной эксплуатации, но не добавила никаких дополнительных подробностей. Компания не ответила на запрос о комментарии.
«Недостаток здесь — простая оплошность», — сказал по электронной почте Джефф Уильямс, соучредитель и технический директор Contrast Security. «Если вы забудете добавить аутентификацию на веб-страницу администратора, все, что нужно сделать злоумышленнику, — это перейти по определенному URL-адресу, чтобы получить доступ».
Palo Alto Networks советует клиентам ограничить сетевой доступ к Expedition для авторизованных пользователей, хостов или сетей. Компания заявила, что уязвимость исправлена в Expedition 1.2.92 и всех более поздних версиях.