A falha estava na solução Expedition, uma ferramenta de migração que ajuda a mover configurações de outras plataformas de firewall.
Escaladas, as falhas encontradas podiam expor informação sensível como credenciais e comprometimento de contas de administrador.
CVE-2024-9463
Falha de injeção de código, que permitia executar comandos como root
CVE-2024-9464
Falha de injeção de código autenticada, similar à anterior
CVE-2024-9465
Falha de sql injection que permitia utilizadores não autenticados aceder a conteúdo da base de dados incluindo hashes e ficheiros de configuração do dispositivo
CVE-2024-9466
Acesso de utilizadores autenticados a informação sensível, revelando usernames, passwords e chaves API em cleartext
CVE-2024-9467
Falha de reflected XSS que permitia executar javascript no browser de um utilizador autenticado, conseguindo levar a cabo ataques de phishing
Soluções afetadas
Anteriores a 1.2.96
Workarounds
Restringir acesso à rede a utilizadores ou hosts autorizados
Correr o comando "mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;" e caso retorne alguma informação é sinal que o dispositivo foi comprometido
Advisory oficial: https://security.paloaltonetworks.com/PAN-SA-2024-0010
Comments