Palo Alto Networks 修复 Expedition 迁移工具中的严重缺陷

Palo Alto Networks 发布了安全更新，以解决影响其产品的五个安全漏洞，其中包括一个可能导致身份验证绕过的严重漏洞。

该漏洞被编目为 CVE-2024-5910（CVSS 评分：9.3），被描述为其 Expedition 迁移工具中缺少身份验证的情况，可能导致管理员帐户被接管。

该公司在一份公告中表示：“Palo Alto Networks Expedition 中缺少关键功能的身份验证，可能导致具有 Expedition 网络访问权限的攻击者接管 Expedition 管理员帐户。”“由于此问题，导入 Expedition 的配置机密、凭证和其他数据都面临风险。”

该漏洞影响 Expedition 1.2.92 之前的所有版本，该版本已修复该问题。Synopsys 网络安全研究中心 (CyRC) 的 Brian Hysell 因发现并报告该问题而受到赞誉。

虽然没有证据表明该漏洞已被利用，但建议用户更新到最新版本以防范潜在威胁。

作为解决方法，Palo Alto Networks 建议将对 Expedition 的网络访问限制在授权用户、主机或网络范围内。

这家美国网络安全公司还修复了 RADIUS 协议中一个新披露的漏洞BlastRADIUS (CVE-2024-3596)，该漏洞可能允许有能力的恶意行为者在 Palo Alto Networks PAN-OS 防火墙和 RADIUS 服务器之间发起中间人 (AitM) 攻击，以绕过身份验证。

该漏洞允许攻击者“在使用 RADIUS 身份验证并且在 RADIUS 服务器配置文件中选择CHAP 或 PAP时将权限升级为‘超级用户’” 。

以下产品受到该缺陷的影响：

PAN-OS 11.1（版本 < 11.1.3，在 >= 11.1.3 中修复）
PAN-OS 11.0（版本 < 11.0.4-h4，在 >= 11.0.4-h4 中修复）
PAN-OS 10.2（版本 < 10.2.10，在 >= 10.2.10 中修复）
PAN-OS 10.1（版本 < 10.1.14，在 >= 10.1.14 中修复）
PAN-OS 9.1（版本 < 9.1.19，在 >= 9.1.19 中修复）
Prisma Access（所有版本，修复预计于 7 月 30 日发布）
它还指出，除非使用加密隧道封装，否则不应使用 CHAP 或 PAP，因为身份验证协议不提供传输层安全性 (TLS)。如果与 TLS 隧道结合使用，则不会受到攻击。

然而，值得注意的是，配置为使用 EAP-TTLS 和 PAP 作为 RADIUS 服务器的身份验证协议的 PAN-OS 防火墙也不易受到攻击。