Palo Alto Networks heeft softwarepatches uitgebracht om verschillende beveiligingsfouten in zijn Expeditie-migratietool te verhelpen, waaronder een zeer ernstige bug die een geverifieerde aanvaller zou kunnen misbruiken om toegang te krijgen tot gevoelige gegevens.
“Meerdere kwetsbaarheden in de Palo Alto Networks Expedition-migratietool stellen een aanvaller in staat de inhoud van de Expedition-database en willekeurige bestanden te lezen, en willekeurige bestanden op het Expedition-systeem te maken en te verwijderen”, aldus het bedrijf in een advies.
“Deze bestanden bevatten informatie zoals gebruikersnamen, leesbare wachtwoorden, apparaatconfiguraties en apparaat-API-sleutels voor firewalls waarop PAN-OS-software draait.”
Expedition, een gratis tool aangeboden door Palo Alto Networks om de migratie van andere firewallleveranciers naar zijn eigen platform te vergemakkelijken, heeft op 31 december 2024 het einde van zijn levensduur (EoL) bereikt. De lijst met fouten is als volgt:
- CVE-2025-0103 (CVSS-score: 7,8) – Een SQL-injectiekwetsbaarheid waarmee een geverifieerde aanvaller de inhoud van de Expeditie-database kan onthullen, zoals wachtwoord-hashes, gebruikersnamen, apparaatconfiguraties en apparaat-API-sleutels, en willekeurige bestanden kan maken en lezen
- CVE-2025-0104 (CVSS-score: 4,7) – Een gereflecteerde cross-site scripting (XSS)-kwetsbaarheid die aanvallers in staat stelt kwaadaardige JavaScript-code uit te voeren in de context van de browser van een geverifieerde gebruiker als die geverifieerde gebruiker op een kwaadaardige link klikt die phishing-aanvallen mogelijk maakt en naar de browser kan leiden -sessiediefstal
- CVE-2025-0105 (CVSS-score: 2,7) – Een kwetsbaarheid bij het willekeurig verwijderen van bestanden waardoor een niet-geverifieerde aanvaller willekeurige bestanden kan verwijderen die toegankelijk zijn voor de www-data-gebruiker op het hostbestandssysteem
- CVE-2025-0106 (CVSS-score: 2,7) – Een wildcard-uitbreidingsprobleem waarmee een niet-geverifieerde aanvaller bestanden op het hostbestandssysteem kan opsommen
- CVE-2025-0107 (CVSS-score: 2,3) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem waardoor een geverifieerde aanvaller willekeurige OS-opdrachten kan uitvoeren als de www-data-gebruiker in Expeditie, wat resulteert in het vrijgeven van gebruikersnamen, leesbare wachtwoorden, apparaatconfiguraties en apparaat-API-sleutels voor firewalls waarop PAN-OS-software draait
Palo Alto Networks zei dat de kwetsbaarheden zijn verholpen in versie 1.2.100 (CVE-2025-0103, CVE-2025-0104 en CVE-2025-0107) en 1.2.101 (CVE-2025-0105 en CVE-2025-0106). ), en dat het niet van plan is om aanvullende updates of beveiliging uit te brengen oplossingen.
Als tijdelijke oplossing wordt aanbevolen om ervoor te zorgen dat alle netwerktoegang tot Expedition beperkt blijft tot alleen geautoriseerde gebruikers, hosts en netwerken, of om de service af te sluiten als deze niet in gebruik is.
SonicWalls brengt SonicOS-patches uit
De ontwikkeling valt samen met de release van SonicWall-patches om meerdere fouten in SonicOS te verhelpen, waarvan er twee kunnen worden misbruikt om respectievelijk authenticatie-bypass en privilege-escalatie te bereiken –
- CVE-2024-53704 (CVSS-score: 8.2) – Een kwetsbaarheid voor onjuiste authenticatie in het SSLVPN-authenticatiemechanisme waardoor een externe aanvaller de authenticatie kan omzeilen.
- CVE-2024-53706 (CVSS-score: 7,8) – Een kwetsbaarheid in het Gen7 SonicOS Cloud-platform NSv (alleen AWS- en Azure-edities) waardoor een op afstand geauthenticeerde lokale aanvaller met weinig bevoegdheden rechten naar root kan verhogen en mogelijk tot code-uitvoering kan leiden.
Hoewel er geen bewijs is dat een van de bovengenoemde kwetsbaarheden in het wild is misbruikt, is het essentieel dat gebruikers stappen ondernemen om de nieuwste oplossingen zo snel mogelijk toe te passen.
Kritieke fout in Aviatrix-controller gedetailleerd
De updates komen ook op het moment dat het Poolse cyberbeveiligingsbedrijf Securing een beveiligingsfout met de hoogste ernst heeft beschreven die van invloed is op de Aviatrix Controller (CVE-2024-50603, CVSS-score: 10.0) en die kan worden uitgebuit om willekeurige code-uitvoering te verkrijgen. Het beïnvloedt versies 7.x tot en met 7.2.4820.
De fout, die zijn oorsprong vindt in het feit dat bepaalde codesegmenten in een API-eindpunt door de gebruiker opgegeven parameters (“list_flightpath_destination_instances” en “flightpath_connection_test”) niet opschonen, is verholpen in versies 7.1.4191 of 7.2.4996.
“Door de onjuiste neutralisatie van speciale elementen die in een OS-opdracht worden gebruikt, kan een niet-geverifieerde aanvaller op afstand willekeurige code uitvoeren”, aldus beveiligingsonderzoeker Jakub Korepta.