CISA alerta sobre falha crítica na Palo Alto

Por causa do risco de exploração em ataques, a CISA alerta sobre falha crítica na Palo Alto. Confira os detalhes dessa ameaça.

Neste artigo, você aprenderá sobre uma vulnerabilidade crítica no Palo Alto Networks’ Expedition, uma ferramenta usada para migração de configurações de firewall.

CISA alerta sobre falha crítica na Palo Alto

CISA alerta sobre falha crítica na Palo Alto
CISA alerta sobre falha crítica na Palo Alto

O problema, conhecido como CVE-2024-5910, permite que atacantes resetem credenciais de administrador em servidores Expedition expostos na internet. Embora a falha tenha sido corrigida em julho, o risco de exploração ainda persiste.

Vamos explorar como essa vulnerabilidade pode ser usada por agressores, as recomendações da CISA e dicas para proteger seus sistemas.

  • CISA emitiu alerta sobre uma vulnerabilidade crítica na ferramenta Expedition da Palo Alto Networks.
  • A falha permite que atacantes redefinam senhas de administradores em servidores expostos.
  • Uma prova de conceito foi lançada em outubro, conectando essa falha a outra vulnerabilidade.
  • Palo Alto recomenda restringir acesso à rede e trocar senhas se atualizações não puderem ser aplicadas.
  • Entidades federais dos EUA devem proteger servidores vulneráveis até 28 de novembro.

CISA Alerta Sobre Vulnerabilidade Crítica da Palo Alto Networks

Agora, a CISA (Agência de Segurança Cibernética e Infraestrutura) emitiu um alerta sobre uma vulnerabilidade crítica encontrada na ferramenta Expedition da Palo Alto Networks. Essa ferramenta ajuda a converter configurações de firewall de diversos fornecedores, como Checkpoint e Cisco, para PAN-OS. A falha de segurança, identificada como CVE-2024-5910, foi corrigida em julho, mas os atacantes ainda estão explorando essa vulnerabilidade.

Detalhes da Vulnerabilidade

A vulnerabilidade permite que um atacante, com acesso à rede, assuma uma conta de administrador do Expedition, resultando em acesso a segredos de configuração, credenciais e outros dados sensíveis. A CISA destacou que:

  • “O Palo Alto Expedition contém uma vulnerabilidade de autenticação ausente que permite a um atacante com acesso à rede tomar conta de uma conta de administrador do Expedition.”

Exploração Remota

Os cibercriminosos podem explorar essa falha de forma remota para redefinir as credenciais de administrador da aplicação em servidores Expedition expostos à internet. Recentemente, o pesquisador de vulnerabilidades da Horizon3.ai, Zach Hanley, divulgou um exploit que combina essa falha de redefinição de administrador com uma vulnerabilidade de injeção de comando, a CVE-2024-9464, que foi corrigida no mês passado. Essa combinação pode resultar na execução de comandos arbitrários em servidores Expedition vulneráveis.

Ações Recomendadas para Administradores

Se você é um administrador que não consegue instalar atualizações de segurança imediatamente, é aconselhável restringir o acesso à rede do Expedition apenas a usuários, hosts ou redes autorizadas. Além disso, a Palo Alto Networks orienta que:

  • Todos os nomes de usuário, senhas e chaves de API do Expedition devem ser alterados após a atualização para a versão corrigida.
  • Todas as credenciais de firewall processadas pelo Expedition também devem ser rotacionadas após a atualização.

Ação da CISA

A CISA adicionou a vulnerabilidade à sua Known Exploited Vulnerabilities Catalog. De acordo com a diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021, as agências federais dos EUA devem proteger os servidores Expedition vulneráveis em suas redes contra ataques até o dia 28 de novembro. A CISA alertou que:

  • “Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal.”

Resumo da Situação Atual

Atualmente, a Palo Alto Networks ainda não atualizou seu aviso de segurança para alertar os clientes sobre os ataques em andamento relacionados à CVE-2024-5910. Enquanto isso, a situação exige atenção imediata de todos os administradores que utilizam a ferramenta Expedition.

Tabela Resumo das Ações Recomendadas

Ação RecomendadasDescrição
Rotação de CredenciaisAlterar todos os nomes de usuário, senhas e chaves de API após a atualização.
Restrição de AcessoLimitar o acesso à rede do Expedition a usuários autorizados.
Atualização de SegurançaInstalar atualizações de segurança assim que possível.

Conclusão

Em resumo, a vulnerabilidade CVE-2024-5910 na ferramenta Expedition da Palo Alto Networks representa um risco significativo para a segurança cibernética, permitindo que atacantes redefinam credenciais de administrador em servidores expostos.

Embora a correção tenha sido disponibilizada, a necessidade de proteção contínua e monitoramento é crucial, especialmente para as agências federais dos EUA, que têm prazos específicos para garantir a segurança de seus servidores.

As ações recomendadas, como a rotatividade de credenciais e a restrição de acesso, são essenciais para mitigar os riscos associados a essa vulnerabilidade.

Portanto, é imperativo que você, como administrador, tome medidas proativas para proteger seu ambiente.

Para mais informações e orientações sobre segurança cibernética, não deixe de explorar outros artigos no Edivaldo Brito.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.