Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) vừa phát đi cảnh báo khẩn cấp về hai lỗ hổng nghiêm trọng trong hệ thống Palo Alto Networks Expedition, đang bị các tác nhân độc hại khai thác tích cực trong thực tế.

Các lỗ hổng này, được xác định là CVE-2024-9463 và CVE-2024-9465, gây ra rủi ro đáng kể, có khả năng dẫn đến xâm phạm toàn bộ hệ thống.

CVE-2024-9463: Lỗ hổng OS Command Injection (CVSS: 9.9)

Lỗ hổng này cho phép kẻ tấn công chưa xác thực thực hiện các lệnh tùy ý trên hệ điều hành với quyền cao nhất (quyền root). Nếu bị khai thác thành công, kẻ tấn công có thể truy cập vào thông tin nhạy cảm như tên người dùng, mật khẩu và khóa API của firewall.

CVE-2024-9465: Lỗ hổng SQL Injection (CVSS: 9.2)

Lỗ hổng này cho phép kẻ tấn công chèn mã SQL độc hại vào cơ sở dữ liệu của Expedition, từ đó trích xuất dữ liệu nhạy cảm. Thông tin bị xâm phạm có thể bao gồm mật khẩu đã được mã hóa, tên người dùng, cấu hình thiết bị và khóa API, giúp kẻ tấn công kiểm soát toàn bộ hệ thống.

Ngoài ra, nhà nghiên cứu bảo mật Zach Hanley từ Horizon3.ai đã công khai bằng chứng lỗ hổng CVE-2024-9465 đang bị khai thác ngoài thực tế.

Palo Alto Networks đã phát hành bản cập nhật cho phiên bản Expedition 1.2.96 để khắc phục các lỗ hổng này và khuyến cáo tất cả người dùng nên cập nhật hệ thống ngay lập tức. CISA cũng đã đưa những lỗ hổng này vào danh sách Lỗ hổng đã bị khai thác (KEV), yêu cầu các cơ quan liên bang phải vá hệ thống trước ngày 5 tháng 12 năm 2024.

Ngoài việc cập nhật lên phiên bản mới nhất, Palo Alto Networks cũng khuyến nghị các tổ chức nên thay đổi tất cả tên người dùng, mật khẩu và khóa API đã được Expedition xử lý. Các tổ chức cũng cần hạn chế quyền truy cập mạng vào hệ thống Expedition, chỉ nên cho phép những người dùng được ủy quyền truy cập.

Nguồn: Security Online