CVE-2024-9465

Суть уязвимости

CVE-2024-9465 представляет собой критическую уязвимость типа SQL-инъекция в инструменте миграции Palo Alto Networks Expedition. Из-за недостаточной фильтрации входных данных неавторизованный злоумышленник может выполнять произвольные SQL-запросы к базе данных.

Последствия эксплуатации: * Раскрытие содержимого базы данных (хеши паролей, имена пользователей). * Доступ к конфигурациям устройств и API-ключам PAN-OS. * Возможность чтения и создания произвольных файлов на файловой системе сервера Expedition. * Потенциальный полный захват контроля над системой и скомпрометированными устройствами сети.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Expedition до версии, в которой ошибка исправлена. Уязвимость устранена в версии Expedition 1.2.96 и всех последующих.

1. Обновите список пакетов:

sudo apt update

1. Установите обновление для Expedition:

sudo apt install expedition-beta

1. Проверьте текущую версию ПО, чтобы убедиться, что установлена версия 1.2.96 или выше:

dpkg -l | grep expedition

1. После обновления рекомендуется сменить все пароли, API-ключи и секреты, которые хранились в Expedition или использовались для интеграции с PAN-OS.

Временные меры

Если немедленное обновление невозможно, необходимо принять следующие меры для снижения риска:

1. Ограничьте сетевой доступ к интерфейсу Expedition. Разрешите входящие соединения (порты 80 и 443) только с доверенных IP-адресов администраторов.

sudo ufw allow from <TRUSTED_ADMIN_IP> to any port 443

1. Полностью изолируйте систему от интернета и сегментов сети с общим доступом.

2. Проверьте системные логи и логи базы данных на наличие подозрительных SQL-запросов.

3. Отключите службу веб-сервера, если инструмент не используется в данный момент:

sudo systemctl stop apache2