Palo Alto Expedition 漏洞警报

关键点

• CISA 警告攻击者正在利用 Palo Alto Expedition 中的缺失身份验证漏洞，可能导致管理员账户被攻击者接管，并访问配置秘密和凭据。
• 此漏洞（CVE-2024-5910）已于 7 月发布修补，但攻击者仍然在远程利用它。
• Palo Alto Networks 已确认该漏洞并将其列入已知被利用漏洞的目录。
• 该漏洞可能导致未授权访问、连锁攻击以及非人的身份（NHIs）带来的额外风险。

Cybersecurity 和基础设施安全局（CISA）于 11 月 7 日发出警告，称攻击者正在利用 Palo Alto Expedition中的缺失身份验证漏洞。该漏洞允许具有网络访问权限的威胁参与者接管 Expedition 管理员账户，并访问配置秘密和凭据。

Expedition 是一个 Palo Alto 的迁移工具，帮助安全团队将来自 Checkpoint、Cisco 和其他供应商的防火墙配置转换为 PaloAlto Networks 操作系统（PAN-OS）。

这一关键的 9.3 漏洞 —
— 已于 ，但攻击者仍在远程利用该漏洞，促使
CISA 发布相关通知。Palo Alto Networks 也在 11 月 7 日更新其网站，确认 CISA 已将该漏洞
目录。

缺失身份验证漏洞是指软件在授予用户访问特权应用功能之前未验证其身份。一旦攻击者获得访问权限，他们可以更改配置设置或获取管理权限。

尽管 Palo Alto Networks Expedition 等工具通常仅供授权用户使用，但有时其配置会偏离最佳实践，Oasis Security的解决方案架构师 Adam Ochayon 指出。他表示，网络限制常常没有被正确或严密地实施，导致这些工具被更广泛地访问。即便这些工具在内部受到限制，像
CVE-2024-5910 这样的漏洞仍然允许拥有最低网络访问权限的攻击者通过利用软件本身的弱点来绕过这些限制。

“期望这些工具因为其 ‘预期的’ 限制而被认为是安全的，凸显了一种普遍的误解，”Ochayon
说。“安全从业人员发现，非人身份（NHIs）如机器和服务账户，往往在没有严格的安全和监控措施的情况下运作，尽管它们拥有特权访问。”

Ochayon 概述了这种缺失身份验证漏洞带来的三大主要危险：

危险类型 | 描述
—|—
未授权访问和凭证重置 | CVE-2024-5910 允许攻击者在未进行正当身份验证的情况下重置 Expedition 管理凭据，获得管理员级别的控制权限，访问敏感的配置数据，包括在防火墙迁移中使用的存储凭据和秘密。
潜在的连锁攻击 | 安全研究人员展示了攻击者如何将 CVE-2024-5910 与 结合使用，例如 ，以提升权限、执行任意命令，甚至接管 PAN-OS 防火墙。这种链式攻击代表了从仅仅是配置暴露到完全控制网络的重大升级。
非人身份（NHIs）带来的风险 | 许多应用依赖机器与机器之间的通信，通常通过 API 密钥和服务账户。如果 NHIs 被暴露，可能会让攻击者获得扩展的网络访问和控制权限超出最初被攻陷的系统。

Bambenek Consulting 的总裁 John Bambenek 补充道，一部分组织建立 Expedition 服务器以帮助迁移其网络设备到
Palo Alto Networks，但在大多数情况下，这些服务器不应对互联网开放。

“这个漏洞允许攻击者在未进行身份验证的情况下接管这些