CVE-2024-5910

Суть уязвимости

CVE-2024-5910 представляет собой критическую уязвимость отсутствия аутентификации (Missing Authentication) в инструменте миграции Palo Alto Networks Expedition. Из-за некорректной проверки прав доступа злоумышленник, имеющий сетевой доступ к интерфейсу Expedition, может захватить учетную запись администратора.

Успешная эксплуатация позволяет атакующему получить полный контроль над инструментом, что ведет к компрометации секретов конфигурации, учетных данных устройств (брандмауэров PAN-OS) и другой конфиденциальной информации, хранящейся в базе данных Expedition.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Expedition до версии 1.2.92 или выше. В этой версии реализованы необходимые проверки аутентификации для критических эндпоинтов.

1. Обновите список пакетов репозитория:

sudo apt update

1. Установите последнюю версию Expedition:

sudo apt install expedition

1. После обновления убедитесь, что версия ПО соответствует актуальной (1.2.92+). Также рекомендуется сменить пароли для всех учетных записей администраторов Expedition и обновить API-ключи на сопряженных устройствах PAN-OS, так как они могли быть скомпрометированы до установки патча.

Временные меры

Если немедленное обновление невозможно, необходимо ограничить поверхность атаки и минимизировать риски следующими способами:

1. Ограничение сетевого доступа: Настройте правила межсетевого экрана (ACL), чтобы доступ к интерфейсу Expedition (порты 80 и 443) был разрешен только с доверенных IP-адресов администраторов или из выделенного сегмента управления (Management VLAN).

2. Остановка службы (если инструмент не используется): Если в данный момент миграция не проводится, временно остановите веб-сервер Apache, чтобы закрыть доступ к уязвимому интерфейсу:

sudo systemctl stop apache2

1. Мониторинг логов: Регулярно проверяйте логи доступа веб-сервера на предмет подозрительных запросов к API и попыток несанкционированного изменения учетных записей.