CVE-2024-9463

Суть уязвимости

CVE-2024-9463 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд ОС) в инструменте миграции Palo Alto Networks Expedition.

Уязвимость позволяет неавторизованному злоумышленнику удаленно выполнять произвольные команды в операционной системе с привилегиями root. Успешная эксплуатация приводит к полной компрометации сервера Expedition и утечке конфиденциальных данных, включая: * Имена пользователей и пароли в открытом виде. * Конфигурации сетевых устройств. * API-ключи устройств под управлением PAN-OS.

Как исправить

Основным способом устранения уязвимости является обновление ПО Expedition до исправленной версии. Palo Alto Networks выпустила исправление в версии Expedition 1.2.96 и выше.

1. Обновите список пакетов репозитория:

sudo apt update

1. Установите последнюю версию Expedition:

sudo apt install expedition-beta

1. Проверьте установленную версию, чтобы убедиться, что она 1.2.96 или выше:

dpkg -l | grep expedition

1. После обновления рекомендуется сменить все пароли, API-ключи и секреты, которые хранились или обрабатывались в Expedition, так как они могли быть скомпрометированы до установки патча.

Временные меры

Если немедленное обновление невозможно, необходимо принять следующие меры для снижения риска:

1. Ограничьте сетевой доступ к интерфейсу Expedition. Разрешите входящий трафик (порты 80/443) только с доверенных IP-адресов администраторов (белый список).

sudo ufw allow from <TRUSTED_IP> to any port 443

1. Отключите или остановите службу Expedition, если инструмент не используется в данный момент:

sudo systemctl stop apache2

1. Убедитесь, что сервер Expedition не имеет прямого доступа из сети Интернет.

2. Проверьте систему на наличие признаков компрометации (неизвестные процессы от пользователя root, подозрительные файлы в /tmp или новые SSH-ключи в /root/.ssh/authorized_keys).