Expeditionの脆弱性

Expeditionというのは、移行ツールです。
Checkpoint、Ciscoなどの提供するファイアウォール製品からPalo Alto Networksのファイアウォール製品への移行を支援します。
このツールで脆弱性が確認されています。

• CVE-2024-9463：認証されていないコマンドインジェクションの脆弱性
• CVE-2024-9464：認証コマンドインジェクションの脆弱性
• CVE-2024-9465：認証されていない SQL インジェクションの脆弱性
• CVE-2024-9466：ログに保存されたクリアテキストの資格情報
• CVE-2024-9467：認証されていない反射型 XSS の脆弱性

これらについて、すでに概念実証エクスプロイトが利用可能です。
これらの脆弱性を悪用することで「Expedition」のデータベースや任意のファイルを読み取ったり、任意のファイルを書き込むことが可能になってしまいます。
アドバイザリの公開時点では、まだ悪用は確認されていないということではありますが、再現手法が公開されていますので、今後悪用されることは想定する必要があります。
特にCVE-2024-9463は認証されていないコマンドインジェクションの脆弱性ということなのですが、これは認証を必要とすることなくroot権限で任意のコマンドを実行できるという内容になっています。

この種のツールは利用する際には構築するのですが、その後メンテナンスされることもなく、そのまま放置されていることになっているケースがあるのではないでしょうか。
Expeditionはubuntu Server上に構築されるツールです。
自由にroot権限でコマンド実行のできるLinuxが環境に存在するというのは恐怖です。
適切なパッチケイデンスの維持は重要な事項ですが、使用済み機材の破棄や初期化という取り組みも同様に重要ということですね。

PAN-SA-2024-0010 Expedition: Multiple Vulnerabilities in Expedition Lead to Exposure of Firewall Credentials

https://security.paloaltonetworks.com/PAN-SA-2024-0010