Cảnh báo lỗ hổng nghiêm trọng trong Expedition của Palo Alto Networks cho phép chiếm quyền kiểm soát tường lửa

Palo Alto Networks vừa phát hiện một loạt lỗ hổng bảo mật nghiêm trọng trong công cụ Expedition, giải pháp chuyển đổi cấu hình tường lửa từ các nhà cung cấp khác sang hệ thống tường lửa của Palo Alto.

Những lỗ hổng này có thể cho phép kẻ tấn công từ xa chiếm quyền điều khiển hệ thống tường lửa, đánh cắp dữ liệu nhạy cảm như tên người dùng, mật khẩu, cấu hình thiết bị và API key, thậm chí thực thi lệnh với quyền root trên hệ thống bị tấn công.

Một trong những lỗ hổng nghiêm trọng nhất là CVE-2024-9463, có số điểm CVSS là 9.9, cho phép kẻ tấn công thực thi lệnh tùy ý với quyền root trên hệ thống Expedition, gây rò rỉ dữ liệu nhạy cảm, bao gồm thông tin đăng nhập và cấu hình của các thiết bị tường lửa PAN-OS.

Các lỗ hổng chính

  • CVE-2024-9463 (CVSS 9.9): Lỗ hổng chèn lệnh (OS Command Injection) cho phép kẻ tấn công chưa xác thực thực thi lệnh với quyền root, dẫn đến việc tiết lộ tên người dùng, mật khẩu, cấu hình thiết bị, và API key của hệ thống tường lửa PAN-OS.
  • CVE-2024-9464 (CVSS 9.3): Lỗ hổng tiêm lệnh dành cho kẻ tấn công đã xác thực, cho phép thực thi lệnh với quyền root và truy cập các thông tin nhạy cảm tương tự như CVE-2024-9463.
  • CVE-2024-9465 (CVSS 9.2): Lỗ hổng SQL injection cho phép kẻ tấn công chưa xác thực truy cập cơ sở dữ liệu Expedition, bao gồm tên người dùng và mật khẩu. Kẻ tấn công có thể tạo, đọc, và ghi các tệp tùy ý vào hệ thống. PoC đã được công khai cho lỗ hổng này.
  • CVE-2024-9466 (CVSS 8.2): Lỗ hổng lưu trữ thông tin nhạy cảm dưới dạng văn bản không mã hoá (cleartext) cho phép kẻ tấn công đã xác thực truy cập và lộ thông tin đăng nhập và API key của tường lửa.
  • CVE-2024-9467 (CVSS 7.0): Lỗ hổng XSS (Reflected Cross-Site Scripting) cho phép thực thi mã JavaScript độc hại trong trình duyệt của người dùng đã xác thực, có thể dẫn đến tấn công lừa đảo (phishing) hoặc chiếm phiên làm việc.

Phương thức tấn công

Các lỗ hổng này đặc biệt nghiêm trọng vì chúng có thể bị khai thác bởi kẻ tấn công từ xa mà không cần xác thực. Khi khai thác thành công, kẻ tấn công có thể chiếm quyền kiểm soát tường lửa, truy cập dữ liệu nhạy cảm, và thực thi lệnh hệ điều hành với quyền root.

Theo nghiên cứu từ Zach Hanley của Horizon3.ai, các lỗ hổng này có thể kết hợp với nhau để tạo ra một chuỗi khai thác. Trong đó, lỗ hổng CVE-2024-5910 cho phép khởi tạo lại tài khoản quản trị, kết hợp với CVE-2024-9464, cho phép chèn lệnh vào hệ điều hành, dẫn đến việc thực thi lệnh với quyền root mà không cần xác thực.

Các bản PoC và phân tích chi tiết cho các lỗ hổng này đã được công khai. Điều này làm tăng nguy cơ hệ thống bị tấn công nếu không được vá lỗi kịp thời.

Hiện tại, chưa có bằng chứng cho thấy các lỗ hổng này đã bị khai thác trong thực tế. Tuy nhiên, do PoC đã được công khai, nguy cơ bị tấn công là rất cao. Các tổ chức sử dụng Expedition cần thực hiện các biện pháp khẩn cấp để bảo vệ hệ thống và giảm thiểu rủi ro bị tấn công.

Tác động

Khi khai thác thành công, kẻ tấn công có thể:

  • Chiếm quyền điều khiển hệ thống tường lửa: Thực thi lệnh hệ điều hành với quyền root, cho phép kiểm soát hoàn toàn hệ thống.
  • Đánh cắp thông tin nhạy cảm: Tiết lộ tên người dùng, mật khẩu, cấu hình thiết bị và khóa API của hệ thống tường lửa PAN-OS.
  • Truy cập và chỉnh sửa cơ sở dữ liệu: Đọc và ghi dữ liệu từ cơ sở dữ liệu Expedition, gây nguy cơ xâm phạm dữ liệu quy mô lớn.
  • Tấn công XSS: Thực thi mã JavaScript độc hại trên trình duyệt của người dùng, dẫn đến nguy cơ lừa đảo hoặc chiếm quyền phiên làm việc.

Khuyến nghị

Palo Alto Networks đã phát hành các bản vá cho tất cả các lỗ hổng nêu trên trong phiên bản Expedition 1.2.96. Để đảm bảo an toàn cho hệ thống, quản trị viên cần thực hiện ngay các biện pháp sau:

  • Cập nhật phần mềm Expedition: Nâng cấp Expedition lên phiên bản 1.2.96 hoặc mới hơn ngay lập tức.
  • Thay đổi toàn bộ tên người dùng, mật khẩu và API key: Sau khi cập nhật, cần thay đổi tất cả các thông tin đăng nhập và API key đã được xử lý bởi Expedition, bao gồm cả trên hệ thống tường lửa PAN-OS.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: