Palo Alto Expedition 漏洞警报

关键点

CISA 警告攻击者正在利用 Palo Alto Expedition 中的缺失身份验证漏洞，可能导致管理员账户被攻击者接管，并访问配置秘密和凭据。此漏洞CVE20245910已于 7 月发布修补，但攻击者仍然在远程利用它。Palo Alto Networks 已确认该漏洞并将其列入已知被利用漏洞的目录。该漏洞可能导致未授权访问、连锁攻击以及非人的身份NHIs带来的额外风险。

Cybersecurity 和基础设施安全局CISA于 11 月 7 日发出警告，称攻击者正在利用 Palo Alto Expedition 中的缺失身份验证漏洞。该漏洞允许具有网络访问权限的威胁参与者接管 Expedition 管理员账户，并访问配置秘密和凭据。

Palo Alto Expedition 漏洞被攻击者利用，CISA发出警告，评级为 93 媒体

Expedition 是一个 Palo Alto 的迁移工具，帮助安全团队将来自 Checkpoint、Cisco 和其他供应商的防火墙配置转换为 Palo Alto Networks 操作系统PANOS。

这一关键的 93 漏洞 CVE20245910 已于 7 月修补，但攻击者仍在远程利用该漏洞，促使 CISA 发布相关通知。Palo Alto Networks 也在 11 月 7 日更新其网站，确认 CISA 已将该漏洞添加至已知被利用漏洞目录。

缺失身份验证漏洞是指软件在授予用户访问特权应用功能之前未验证其身份。一旦攻击者获得访问权限，他们可以更改配置设置或获取管理权限。

尽管 Palo Alto Networks Expedition 等工具通常仅供授权用户使用，但有时其配置会偏离最佳实践，Oasis Security 的解决方案架构师 Adam Ochayon 指出。他表示，网络限制常常没有被正确或严密地实施，导致这些工具被更广泛地访问。即便这些工具在内部受到限制，像 CVE20245910 这样的漏洞仍然允许拥有最低网络访问权限的攻击者通过利用软件本身的弱点来绕过这些限制。

“期望这些工具因为其预期的限制而被认为是安全的，凸显了一种普遍的误解，”Ochayon 说。“安全从业人员发现，非人身份NHIs如机器和服务账户，往往在没有严格的安全和监控措施的情况下运作，尽管它们拥有特权访问。”

Ochayon 概述了这种缺失身份验证漏洞带来的三大主要危险：

危险类型描述未授权访问和凭证重置CVE20245910 允许攻击者在未进行正当身份验证的情况下重置 Expedition 管理凭据，获得管理员级别的控制权限，访问敏感的配置数据，包括在防火墙迁移中使用的存储凭据和秘密。潜在的连锁攻击安全研究人员展示了攻击者如何将 CVE20245910 与其他漏洞结合使用，例如 CVE20249464，以提升权限、执行任意命令，甚至接管 PANOS 防火墙。这种链式攻击代表了从仅仅是配置暴露到完全控制网络的重大升级。非人身份NHIs带来的风险许多应用依赖机器与机器之间的通信，通常通过 API 密钥和服务账户。如果 NHIs 被暴露，可能会让攻击者获得扩展的网络访问和控制权限超出最初被攻陷的系统。

Bambenek Consulting 的总裁 John Bambenek 补充道，一部分组织建立 Expedition 服务器以帮助迁移其网络设备到 Palo Alto Networks，但在大多数情况下，这些服务器不应对互联网开放。

“这个漏洞允许攻击者在未进行身份验证的情况下接管这些

坚果加速器最新版

Palo Alto Expedition 漏洞警报

关键点

订阅