ช่องโหว่ Palo Alto Expedition ความเสี่ยงที่องค์กรไม่ควรมองข้าม

CISA ได้ออกคำเตือนเกี่ยวกับช่องโหว่สำคัญใน Palo Alto Networks Expedition ซึ่งเป็นเครื่องมือสำหรับไมเกรชันการกำหนดค่าไฟร์วอลล์ โดยช่องโหว่ดังกล่าว (CVE-2024-5910) เป็นปัญหาด้านการตรวจสอบสิทธิ์ที่หายไป ทำให้ผู้โจมตีสามารถเข้าถึงและรีเซ็ตข้อมูลประจำตัวของผู้ดูแลระบบบนเซิร์ฟเวอร์ Expedition ที่เชื่อมต่อกับอินเทอร์เน็ตได้ ช่องโหว่นี้ได้รับการแก้ไขแล้วตั้งแต่เดือนกรกฎาคม

แม้รายละเอียดการโจมตีจะยังไม่ชัดเจน แต่ Zach Hanley จาก Horizon3.ai ได้เปิดเผยหลักฐานแนวคิดการโจมตีในเดือนตุลาคม โดยแสดงวิธีการใช้ข้อบกพร่องดังกล่าวเพื่อดำเนินการคำสั่งที่ไม่ผ่านการตรวจสอบสิทธิ์บนเซิร์ฟเวอร์ Expedition ที่มีช่องโหว่ นอกจากนี้ ช่องโหว่ CVE-2024-9464 ที่เกี่ยวข้องกับการแทรกคำสั่งยังสามารถถูกใช้ร่วมกันกับจุดบกพร่องอื่นๆ เพื่อเข้าควบคุมบัญชีผู้ดูแลระบบและไฟร์วอลล์ PAN-OS

CISA ได้เพิ่มช่องโหว่นี้ในแคตาล็อกช่องโหว่ที่ต้องจัดการตามคำสั่ง BOD 22-01 โดยหน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องรักษาความปลอดภัยให้เสร็จสิ้นภายในวันที่ 28 พฤศจิกายน เพื่อป้องกันการโจมตี ข้อแนะนำสำหรับผู้ดูแลระบบคือการจำกัดการเข้าถึง Expedition เฉพาะผู้ใช้ที่ได้รับอนุญาต และหมุนเวียนข้อมูลประจำตัวและคีย์ API หลังจากการอัปเดตแพตช์

เรียบเรียงข้อมูลจาก https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/