CISA markeert twee actief uitgebuit Palo Alto-fouten; Nieuwe RCE-aanval bevestigd

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde donderdag dat nog twee fouten die van invloed zijn op de Palo Alto Networks Expedition-software actief in het wild worden uitgebuit.

Daartoe heeft het de kwetsbaarheden toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de noodzakelijke updates vóór 5 december 2024 moeten toepassen.

De beveiligingsfouten worden hieronder vermeld:

  • CVE-2024-9463 (CVSS-score: 9,9) – Beveiligingslek in opdrachtinjectie van Palo Alto Networks Expeditie OS
  • CVE-2024-9465 (CVSS-score: 9,3) – Beveiligingslek in Palo Alto Networks expeditie SQL-injectie

Succesvol misbruik van de kwetsbaarheden zou een niet-geverifieerde aanvaller in staat kunnen stellen willekeurige OS-opdrachten uit te voeren als root in de Expeditie-migratietool of de database-inhoud ervan te onthullen.

Dit zou vervolgens de weg kunnen vrijmaken voor het vrijgeven van gebruikersnamen, leesbare wachtwoorden, apparaatconfiguraties en apparaat-API-sleutels van PAN-OS-firewalls, of voor het maken en lezen van willekeurige bestanden op het kwetsbare systeem.

Palo Alto Networks heeft deze tekortkomingen aangepakt als onderdeel van beveiligingsupdates die op 9 oktober 2024 zijn uitgebracht. Het bedrijf heeft sindsdien zijn oorspronkelijke advies herzien om te erkennen dat het “op de hoogte is van rapporten van CISA dat er bewijs is van actieve exploitatie van CVE-2024-9463 en CVE-2024-9465.”

Dat gezegd hebbende, is er niet veel bekend over hoe deze kwetsbaarheden worden uitgebuit, door wie en hoe wijdverspreid deze aanvallen zijn.

De ontwikkeling kwam ook een week nadat CISA organisaties op de hoogte had gesteld van de actieve exploitatie van CVE-2024-5910 (CVSS-score: 9,3), een andere kritieke fout bij Expedition.

Palo Alto Networks bevestigt nieuwe fout onder beperkte aanval

Palo Alto Networks heeft sindsdien ook bevestigd dat het een niet-geauthenticeerde kwetsbaarheid voor de uitvoering van externe opdrachten heeft gedetecteerd die wordt ingezet tegen een kleine subset van firewallbeheerinterfaces die zijn blootgesteld aan internet, en dringt er bij klanten op aan deze te beveiligen.

“Palo Alto Networks heeft bedreigingsactiviteiten waargenomen die misbruik maken van een niet-geauthenticeerde kwetsbaarheid voor het uitvoeren van externe opdrachten tegen een beperkt aantal firewallbeheerinterfaces die zijn blootgesteld aan internet”, voegde het eraan toe.

Het bedrijf, dat de kwaadaardige activiteit onderzoekt en de kwetsbaarheid een CVSS-score van 9,3 heeft gegeven (geen CVE-identificatie), zei ook dat het “zich voorbereidt op het zo snel mogelijk vrijgeven van oplossingen en handtekeningen voor bedreigingspreventie.”

Thijs Van der Does