Palo Alto Networks ha lanzado parches para corregir vulnerabilidades críticas en su herramienta Expedition, las cuales, si no se resuelven, podrían representar serios riesgos de seguridad.
Palo Alto Expedition es una herramienta de migración creada por Palo Alto Networks, diseñada para facilitar el traslado de configuraciones desde proveedores compatibles a su plataforma, el PAN-OS. Esta versión avanzada simplifica el proceso de migración, permitiendo a los administradores ahorrar tiempo y esfuerzo, al tiempo que optimiza las configuraciones.
Detalles de las vulnerabilidades
Según boletín de Palo Alto Networks se ha identificado cinco nuevas vulnerabilidades [2] que podrían permitir a los atacantes acceder a información sensible, como nombres de usuario, contraseñas sin cifrar, configuraciones de dispositivos y claves API para firewalls PAN-OS. Para más detalle, estas vulnerabilidades se muestran en la Tabla 1.
Cómo se descubrieron los fallos
Durante la investigación de la vulnerabilidad CVE-2024-5910, que permitía el restablecimiento remoto de credenciales de administrador, el investigador Zach Hanley de Horizon3.ai descubrió tres fallas críticas adicionales: CVE-2024-9464, CVE-2024-9465 y CVE-2024-9466 [3].
La vulnerabilidad original permitía a los atacantes ejecutar código de forma remota tras obtener acceso de administrador, y se identificó una inyección SQL en «CHECKPOINT.php» que facilitaba el acceso no autorizado a la base de datos. Hanley ha desarrollado un exploit de prueba de concepto (PoC) que combina estas vulnerabilidades, y también hay un PoC disponible para CVE-2024-9465 en GitHub
Productos y versiones afectadas
La compañía afirmó que las vulnerabilidades afectan a las versiones de Expedition anteriores a la 1.2.96.
Indicadores de Compromiso
En el caso de la vulnerabilidad CVE-2024-9465, se puede comprobar la existencia de un indicador de compromiso utilizando el siguiente comando en un sistema Expedition:
mysql -uroot -p -D pandb -e «SELECT * FROM cronjobs;»
Si el comando devuelve registros, esto podría indicar una posible vulneración.
Solución
Los parches para todas las vulnerabilidades mencionadas se pueden encontrar en la versión 1.2.96 de Expedition y en las versiones posteriores.
Recomendaciones
- El archivo de texto sin formato vinculado a CVE-2024-9466 se eliminará de forma automática al realizar la actualización.
- Cambiar los nombres de usuario, contraseñas y claves API de Expedition después de la actualización.
- También se debe cambiar todos los nombres de usuario, contraseñas y claves API del firewall que haya sido procesado por Expedition tras la actualización.
- Limitar el acceso de red a Expedition solo a usuarios autorizados para minimizar el riesgo de exposición.
Tabla 1 Vulnerabilidades de Palo Alto Networks
| CVE | CVSS | Descripción |
| CVE-2024-9463 | 9.9 | Un atacante no autenticado puede ejecutar comandos como root y acceder a datos sensibles, como nombres de usuario, contraseñas sin cifrar y claves API del firewall PAN-OS. |
| CVE- 2024- 9464 | 9.3 | Este fallo de inyección de comandos, que puede ser explotado por un usuario autenticado, permite ejecutar comandos del sistema como root, causando una exposición de datos similar a la de CVE-2024-9463. |
| CVE- 2024- 9465 | 9.2 | Una vulnerabilidad de inyección SQL no autenticada permite acceder a la base de datos de Expedition, revelando nombres de usuario y hashes de contraseñas, y facilitando a los atacantes la creación y lectura de archivos. |
| CVE- 2024- 9466 | 8.2 | Almacenar datos sensibles en texto sin cifrar permite a los atacantes obtener nombres de usuario, contraseñas y claves de API. |
| CVE- 2024- 9467 | 7.0 | Una vulnerabilidad XSS reflejada posibilita la ejecución de JavaScript dañino, lo que puede resultar en ataques de phishing o el robo de sesiones. |
Referencia:
[1] S. Gatlan, «BleepingComputer,» [En línea]. Available: https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-firewall-hijack-bugs-with-public-exploit/. [Último acceso: 16 10 2024].
[2] «Palo Alto Networks Security Advisories,» [En línea]. Available: https://securityadvisories.paloaltonetworks.com/PAN-SA-2024-0010. [Último acceso: 15 10 2024].
[3] «SOCRadar® Cyber Intelligence Inc.,» [En línea]. Available: https://socradar.io/vulnerabilities-palo-alto-networks-expedition-expose-firewall-credentials/. [Último acceso: 15 10 2024].
