Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Цепочка атак на Palo Alto Expedition: от от N-Day до полной компрометации (http://txgate.io:443/showthread.php?t=8035)

Artifact 02-20-2025 04:12 AM

10 июля 2024 года компания Palo Alto выпустила предупреждение оhttps://security.paloaltonetworks.com/CVE-2024-5910 CVE-2024-5910, которая позволяла злоумышленникам удаленно сбросить учетные данные администратора в приложении https://live.paloaltonetworks.com/t5...migration_tool. Хотя само приложение Expedition не так широко известно, его цель заключается в облегчении и ускорении миграции конфигураций сетевых устройств от других производителей, таких как Checkpoint или Cisco, к Palo Alto Networks. Эксплуатация этой уязвимости могла дать злоумышленникам полный контроль над учетной записью администратора Expedition при наличии доступа к сети.
После изучения документации стало ясно, что данное приложение может представлять значительный интерес для атакующих, поскольку оно интегрируется с сетевыми устройствами через веб-сервис, а учетные данные хранятся на сервере, работающем под управлением Ubuntu.
Во время тестирования https://www.horizon3.ai/attack-resea...ll-compromise/ , что запрос к определенной конечной точке веб-сервиса позволяет сбросить пароль администратора. Однако получение административного доступа — лишь первый шаг, который не дает доступа ко всем сохраненным учетным данным. Для этого было необходимо выполнить удаленное выполнение кода на сервере.
В процессе изучения кода веб-сервиса было выявлено несколько уязвимых файлов, в частности, файл CronJobs.php. Этот файл позволяет выполнять команды, передаваемые через параметры запроса, что может быть использовано для инъекции команд. Так, при наличии валидной сессии пользователь мог бы вставить вредоносную команду в базу данных и заставить сервер её выполнить.
В итоге уязвимость CVE-2024-9464 позволила злоумышленникам выполнять команды на сервере, что дало возможность извлекать учетные данные через SQL-запросы. Одной из таких команд был запрос, который возвращал все API-ключи и пароли в открытом виде.
Кроме того, были обнаружены другие уязвимости, включая CVE-2024-9465 — SQL-инъекция без аутентификации, и CVE-2024-9466 — запись учетных данных в открытом виде в лог-файлах. Эти уязвимости давали злоумышленникам возможность получать доступ к конфиденциальной информации даже без наличия учетной записи.
https://www.securitylab.ru/upload/me...7w0qgeh0s3.png
На момент написания новости в интернете было выявлено 23 открытых серверов Expedition, которые могут подвергаться атакам, что делает исправление данных уязвимостей критически важным для обеспечения безопасности серверов и хранимых данных.
https://www.securitylab.ru/news/552934.php


All times are GMT. The time now is 05:46 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.