Palo Alto Networks wydało aktualizacje oprogramowania, aby naprawić szereg luk w zabezpieczeniach w swoim narzędziu migracyjnym Expedition. Wśród nich znajduje się jedna poważna luka, którą uwierzytelniony napastnik mógłby wykorzystać do uzyskania dostępu do poufnych danych. Narzędzie pozwala administratorom na migrację konfiguracji z innych rozwiązań firewallowych do platformy Palo Alto Networks, ale obecne problemy mogą zagrozić bezpieczeństwu jego użytkowników.
Według firmy, luki te umożliwiają atakującym odczyt zawartości bazy danych Expedition i dowolnych plików, a także tworzenie lub usuwanie plików na systemie Expedition. Mogą to być dane użytkowników, hasła zapisane w postaci jawnej, konfiguracje urządzeń oraz klucze API dla zapór ogniowych działających pod kontrolą oprogramowania PAN-OS.
Narzędzie Expedition osiągnie koniec swojego wsparcia (End-of-Life) 31 grudnia 2024 roku. Lista wykrytych błędów obejmuje m.in.:
– CVE-2025-0103 (CVSS: 7.8) – podatność na SQL Injection pozwalająca na ujawnienie zawartości bazy danych, takich jak hashe haseł, nazwy użytkowników czy konfiguracje urządzeń. Luka umożliwia także tworzenie i odczytywanie dowolnych plików.
– CVE-2025-0104 (CVSS: 4.7) – podatność typu Cross-Site Scripting (XSS), która pozwala na wykonanie szkodliwego kodu JavaScript w przeglądarce uwierzytelnionego użytkownika po kliknięciu przez niego spreparowanego linku. Może to prowadzić do kradzieży sesji przeglądarki.
– CVE-2025-0105 (CVSS: 2.7) – luka umożliwiająca usuwanie plików przez nieuwierzytelnionego użytkownika, które są dostępne dla konta www-data na systemie hosta.
– CVE-2025-0106 (CVSS: 2.7) – podatność pozwalająca na enumerację plików na systemie hosta przez nieautoryzowanego użytkownika.
– CVE-2025-0107 (CVSS: 2.3) – podatność pozwalająca na wstrzykiwanie komend systemu operacyjnego (OS Command Injection). Może być ona wykorzystana przez uwierzytelnionego atakującego do wykonania dowolnych komend w kontekście użytkownika www-data, co grozi ujawnieniem danych takich jak hasła, konfiguracje urządzeń czy klucze API.
Palo Alto Networks poinformowało, że podatności te zostały załatane w wersjach 1.2.100 (dot. CVE-2025-0103, CVE-2025-0104, CVE-2025-0107) oraz 1.2.101 (dot. CVE-2025-0105, CVE-2025-0106). Należy jednak zauważyć, że firma nie planuje wydać żadnych kolejnych aktualizacji ani poprawek dla narzędzia Expedition. Zaleca się, aby użytkownicy ograniczyli dostęp do Expedition jedynie do autoryzowanych użytkowników oraz ograniczonej sieci lub w razie braku potrzeby korzystania – całkowicie wyłączali usługę.
Łatki dla SonicOS od SonicWall
W czasie, gdy Palo Alto Networks zajmuje się aktualizacją swojego narzędzia, SonicWall ogłosiło, że wydało poprawki dla SonicOS, które naprawiają kilka podatności. Dwie z nich mogą być potencjalnie wykorzystane do obejścia uwierzytelnienia i eskalacji uprawnień. Oto szczegóły:
– CVE-2024-53704 (CVSS: 8.2) – luka związana z niepoprawnym procesem uwierzytelniania w mechanizmie SSLVPN, co umożliwia atakującemu obejście procedury logowania.
– CVE-2024-53706 (CVSS: 7.8) – błąd dotyczący platformy Gen7 SonicOS Cloud (edycje AWS i Azure), który umożliwia lokalnemu użytkownikowi z ograniczonymi uprawnieniami podniesienie swoich przywilejów do poziomu administratora (root) oraz potencjalne wykonanie kodu.
Według dostępnych informacji, nie odnotowano jeszcze przypadków, gdzie którejkolwiek z tych luk użyto do przeprowadzenia ataku. Jednak użytkownikom zaleca się natychmiastową instalację dostępnych poprawek dla oprogramowania.
Krytyczna luka w Aviatrix Controller
W tym samym czasie polska firma zajmująca się bezpieczeństwem IT, Securing, opisała krytyczną podatność w Aviatrix Controller (CVE-2024-50603, CVSS: 10.0). Luka ta pozwala na zdalne wykonanie dowolnego kodu przez atakującego. Problem dotyczy wersji od 7.x do 7.2.4820.
Główna słabość polega na niewystarczającym oczyszczaniu parametrów podawanych przez użytkownika w segmentach kodu API (m.in. „listflightpathdestinationinstances” oraz „flightpathconnection_test”). Błąd został naprawiony w wersjach 7.1.4191 oraz 7.2.4996.
Jak zauważył badacz bezpieczeństwa, Jakub Korepta, atakujący może wykorzystać brak neutralizacji specjalnych elementów w komendach systemowych, aby uzyskać pełny dostęp do systemu.
Bezpieczeństwo IT, szczególnie w kontekście narzędzi administracyjnych, staje się coraz bardziej złożone. Odpowiedzialne i szybkie działania związane z aktualizacjami, ograniczeniem dostępu i monitorowaniem systemów są dziś kluczowe, by chronić zarówno dane, jak i infrastrukturę sieciową.