漏洞描述:
Palo Alto Networks Expedition是Palo Alto Networks提供的一款迁移工具,旨在帮助网络安全团队进行防火墙规则的迁移、优化和管理,它主要用于简化从旧防火墙设备(如思科、Check Point、Fortinet等)迁移到Palo Alto Networks防火墙的过程,并且可以帮助用户在迁移过程中清理和优化防火墙规则,攻击者正在积极利用Palo Alto Networks Expedition迁移工具中的命令注入漏洞(CVE-2024-9463)和SQL注入漏洞(CVE-2024-9465)
详情如下:
CVE-2024-9463:Palo Alto Networks Expedition命令注入漏洞
Palo Alto Networks Expedition受影响版本中convertCSVtoParquet 接口存在命令注入漏洞,其CVSS评分为9.9,成功利用该漏洞可能导致未经身份验证的攻击者在Expedition中以root 身份运行任意系统命令,从而导致 PAN-OS 防火墙的用户名、明文密码、设备配置和设备API密钥泄露。目前该漏洞的PoC已公开,且已发现被利用。
CVE-2024-9465:Palo Alto Networks Expedition SQL注入漏洞
Palo Alto Networks Expedition受影响版本中存在SQL 注入漏洞,其CVSS评分为9.2,成功利用该漏洞可能导致未经身份验证的攻击者获取Expedition 数据库内容,例如密码哈希、用户名、设备配置和设备 API 密钥等,并可在Expedition系统上创建和读取任意文件。目前该漏洞的技术细节及PoC已公开披露,且已发现被利用。此外,Palo Alto Networks Expedition中还存在另一个命令注入漏洞(CVE-2024-9464,CVSS评分9.3),经过身份验证的攻击者可利用该漏洞在Expedition中以root身份运行任意系统命令;以及PaloAlto Networks Expedition明文存储敏感信息漏洞(CVE-2024-9466,CVSS评分8.2),允许经过身份验证的攻击者获取使用这些凭据生成的防火墙用户名、密码和 API 密钥;和Palo Alto Networks Expedition跨站脚本漏洞(CVE-2024-9467,CVSS评分7.0),攻击者可以诱导已认证的Expedition用户点击恶意链接,从而触发反射型XSS漏洞,导致恶意JavaScript在用户的浏览器上下文中执行,这可能引发钓鱼攻击,进而导致Expedition浏览器会话被盗。
影响范围
Palo Alto Networks Expedition < 1.2.96
修复建议:
升级版本
目前这些漏洞已经修复,受影响用户可升级到以下版本:
Palo Alto Networks Expedition >= 1.2.96
下载链接:
https://live.paloaltonetworks.com/t5/expedition/ct-p/migration_tool
临时措施:
确保对Expedition的网络访问仅限于授权用户、主机或网络。
如果未主动使用Expedition,请确保Expedition软件已关闭。