Vulnerabilitatea instrumentului Expedition de la Palo Alto Networks expune credențialele firewall-ului
Sursă: https://cybersecuritynews.com/
Au fost descoperite mai multe vulnerabilități în instrumentul de migrare Expedition de la Palo Alto Networks, care pot expune informații confidențiale despre firewall, inclusiv nume de utilizator, parole în text clar, configurații de dispozitive și chei API.
Aceste vulnerabilități prezintă riscuri semnificative pentru organizațiile care utilizează instrumentul pentru migrarea și optimizarea firewall-urilor.
Expedition, cunoscut anterior sub numele de Migration Tool, este un utilitar gratuit conceput pentru a ajuta la migrarea configurațiilor de la firewall-uri terțe la platforma Palo Alto Networks’ Next-Generation Firewall (NGFW).
Cu toate acestea, acesta este destinat doar utilizării temporare în timpul migrărilor și nu este recomandat pentru mediile de producție. Instrumentul a ajuns la sfârșitul ciclului său de funcționare (EoL) la 31 decembrie 2024.
Vulnerabilitățile sunt:
- CVE-2025-0103 (CvSS: 7.8/10): o vulnerabilitate de tip SQL injection ce permite atacatorilor autentificați să acceseze baza de date a Expedition, dezvăluind informații sensibile precum hash-uri de parole și configurații de dispozitive. De asemenea, permite atacatorilor să creeze sau să citească fișiere arbitrare pe sistem.
- CVE-2025-0104 (CvSS 4.7/10): o vulnerabilitate de tip reflected cross-site scripting (XSS) ce permite atacatorilor să execute JavaScript malițios în browser-ul unui utilizator autentificat, permițând atacuri de tip phising sau session theft.
- CVE-2025-0105 (CvSS 2.7/10): o vulnerabilitate de tip arbitrary file deletion ce permite atacatorilor neautentificați să șteargă fișiere accesibile utilizatorului „www-data” al sistemului Expedition.
- CVE-2025-0106 (CvSS 2.7/10): o vulnerabilitate de tip wildcard expansion ce permite atacatorilor neautentificați să enumere fișiere pe sistem.
- CVE-2025-0107 (CvSS 2.3/10): o vulnerabilitate de tip OS command injection ce permite atacatorilor autentificați să execute comenzi arbitrare ale sistemului de operare ca utilizator „www-data”, expunând credențiale ale firewall-ului în text clar.
Aceste vulnerabilități nu afectează direct firewall-urile Palo Alto Networks, dispozitivele Panorama, implementările Prisma Access sau NGFW-urile Cloud. Cu toate acestea, ele compromit semnificativ securitatea sistemelor care rulează versiuni vulnerabile ale Expedition.
Palo Alto Networks a lansat patch-uri care remediază aceste vulnerabilități în versiunea Expedition 1.2.101 și ulterioare. Organizațiile sunt îndemnate să actualizeze imediat și să rotească toate credențialele procesate prin intermediul instrumentului.
În plus, restricționarea accesului la rețea pentru utilizatorii autorizați și închiderea instanțelor Expedition neutilizate sunt măsuri esențiale pentru reducerea riscurilor.
Deși nu există încă dovezi de exploatare activă, disponibilitatea exploatărilor de tip proof-of-concept pentru vulnerabilități similare ridică îngrijorări cu privire la potențiale atacuri viitoare.
Deoarece Expedition a ajuns la sfârșitul ciclului de funcționare, utilizatorii sunt sfătuiți să treacă la instrumente alternative pe care Palo Alto Networks le recomandă pentru migrarea firewall-ului și optimizarea politicilor.
Sursă: https://cybersecuritynews.com/palo-alto-networks-expedition-tool-vulnerability/
