पालो ऑल्टो नेटवर्क्स ने आज ग्राहकों को सुरक्षा कमज़ोरियों (सार्वजनिक शोषण कोड के साथ) को पैच करने के लिए चेतावनी दी है, जिन्हें हमलावरों को PAN-OS फ़ायरवॉल को हाईजैक करने की अनुमति देने के लिए चेन किया जा सकता है।
ये समस्याएँ पालो ऑल्टो नेटवर्क्स के एक्सपीडिशन उत्तर में मौजूद थीं, जो विभिन्न चेकपॉइंट, सिस्को या समर्थित वितरकों से कॉन्फ़िगरेशन को माइग्रेट करने में मदद करता है।
इनका अक्सर संवेदनशील डेटा, जैसे कि उपभोक्ता क्रेडेंशियल, तक पहुँचने के लिए शोषण किया जाता है, जो फ़ायरवॉल व्यवस्थापक खातों को अपने कब्ज़े में लेने में सहायता कर सकता है।
बुधवार को प्रकाशित एक सलाह में कंपनी ने कहा, “पालो ऑल्टो नेटवर्क्स एक्सपीडिशन में कई कमज़ोरियाँ एक हमलावर को एक्सपीडिशन डेटाबेस की सामग्री और मनमाने डेटा को पढ़ने की अनुमति देती हैं, साथ ही एक्सपीडिशन सिस्टम पर अल्पकालिक भंडारण क्षेत्रों में मनमाने डेटा को लिखने की भी अनुमति देती हैं।”
“मिश्रित रूप से, इनमें उपयोगकर्ता नाम, क्लियरटेक्स्ट पासवर्ड, गैजेट कॉन्फ़िगरेशन और PAN-OS फ़ायरवॉल की गैजेट API कुंजियाँ जैसे डेटा शामिल हैं।”
ये बग कमांड इंजेक्शन, मिरर्ड क्रॉस-साइट स्क्रिप्टिंग (XSS), नाजुक डेटा का क्लियरटेक्स्ट स्टोरेज, प्रमाणीकरण की कमी और SQL इंजेक्शन भेद्यता का मिश्रण हैं:
प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट उपलब्ध है
Horizon3.ai भेद्यता शोधकर्ता ज़ैक हैनली, जिन्होंने 4 बग की खोज की और रिपोर्ट की, ने एक मूल कारण विश्लेषण लेख भी प्रकाशित किया है, जिसमें बताया गया है कि उन्होंने CVE-2024-5910 भेद्यता (जुलाई में खुलासा और पैच किया गया) पर शोध करते समय इनमें से तीन खामियों की खोज कैसे की, जो हमलावरों को एक्सपेडिशन सॉफ़्टवेयर एडमिन क्रेडेंशियल रीसेट करने की अनुमति देता है।
हैनली ने एक प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट भी लॉन्च किया जो संवेदनशील एक्सपेडिशन सर्वर पर “अप्रमाणित” मनमाने कमांड निष्पादन को साकार करने के लिए CVE-2024-5910 एडमिन रीसेट दोष को CVE-2024-9464 कमांड इंजेक्शन भेद्यता के साथ जोड़ता है।
पालो ऑल्टो नेटवर्क्स का कहना है कि, फिलहाल, इस बात का कोई सबूत नहीं है कि हमलों में सुरक्षा खामियों का फायदा उठाया गया है।
“सभी सूचीबद्ध बिंदुओं के लिए सुधार Expedition 1.2.96 में पाए जा सकते हैं, और बाद के सभी Expedition संस्करणों में। CVE-2024-9466 से प्रभावित क्लियरटेक्स्ट फ़ाइल को सुधार के माध्यम से स्वचालित रूप से हटाया जा सकता है,” पालो ऑल्टो नेटवर्क ने आज जोड़ा।
“Expedition के स्थिर मॉडल में अपग्रेड करने के बाद Expedition के सभी उपयोगकर्ता नाम, पासवर्ड और API कुंजियों को रोटेट किया जाना चाहिए। Expedition द्वारा संसाधित सभी फ़ायरवॉल उपयोगकर्ता नाम, पासवर्ड और API कुंजियों को अपडेट करने के बाद रोटेट किया जाना चाहिए।”
जो व्यवस्थापक वर्तमान सुरक्षा अपडेट में तुरंत तैनात नहीं हो सकते हैं, उन्हें स्वीकृत ग्राहकों, होस्ट या नेटवर्क के लिए Expedition समुदाय में प्रवेश को प्रतिबंधित करना चाहिए।
अप्रैल में, कॉर्पोरेट ने अधिकतम-गंभीरता वाले शून्य-दिन बग के लिए हॉटफ़िक्स जारी करना शुरू किया, जिसका मार्च से UTA0218 के रूप में ट्रैक किए गए राज्य-समर्थित खतरे वाले अभिनेता द्वारा बैकडोर PAN-OS फ़ायरवॉल के लिए सक्रिय रूप से शोषण किया जा रहा था।
