Novembro 15, 2024
admin Hackers

CISA sinaliza duas falhas exploradas ativamente em Palo Alto; novo ataque RCE confirmado

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou na quinta-feira que mais duas falhas que afetam o software Palo Alto Networks Expedition estão sendo exploradas ativamente.

Para isso, adicionou as vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as atualizações necessárias até 5 de dezembro de 2024.

As falhas de segurança estão listadas abaixo –

  • CVE-2024-9463 (pontuação CVSS: 9,9) – Vulnerabilidade de injeção de comando do Palo Alto Networks Expedition OS
  • CVE-2024-9465 (pontuação CVSS: 9,3) – Vulnerabilidade de injeção de SQL Expedition da Palo Alto Networks

A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor não autenticado execute comandos arbitrários do sistema operacional como root na ferramenta de migração Expedition ou revele o conteúdo do seu banco de dados.

Isso poderia abrir caminho para a divulgação de nomes de usuários, senhas em texto simples, configurações de dispositivos e chaves de API de dispositivos de firewalls PAN-OS, ou criar e ler arquivos arbitrários no sistema vulnerável.

A Palo Alto Networks corrigiu essas deficiências como parte das atualizações de segurança lançadas em 9 de outubro de 2024. Desde então, a empresa revisou seu comunicado original para reconhecer que está “ciente dos relatórios da CISA de que há evidências de exploração ativa para CVE-2024-9463 e CVE-2024-9465”.

Dito isso, não se sabe muito sobre como essas vulnerabilidades estão sendo exploradas, por quem e quão disseminados esses ataques.

O desenvolvimento também ocorreu uma semana após a CISA notificar organizações sobre a exploração ativa do CVE-2024-5910 (pontuação CVSS: 9,3), outra falha crítica que afeta o Expedition.

Palo Alto Networks confirma nova falha sob ataque limitado

A Palo Alto Networks também confirmou que detectou uma vulnerabilidade de execução de comando remoto não autenticado sendo usada como arma contra um pequeno subconjunto de interfaces de gerenciamento de firewall que estão expostas à Internet, pedindo aos clientes que as protejam.

“A Palo Alto Networks observou atividade de ameaça explorando uma vulnerabilidade de execução de comando remoto não autenticado contra um número limitado de interfaces de gerenciamento de firewall que estão expostas à Internet”, acrescentou .

A empresa, que está investigando a atividade maliciosa e deu à vulnerabilidade uma pontuação CVSS de 9,3 (sem identificador CVE), também disse que está “se preparando para lançar correções e assinaturas de prevenção de ameaças o mais cedo possível”.