Sårbarhet i Cortex XDR agenten – Tre sårbarheter annonsert

En sårbarhet er alltid noe som kan skape en kinkig situasjon. Heldigvis er Palo Alto Networks raske til å opplyse om de sårbarhetene som dukker opp.

På ettermiddagen 12. juni opplyste de om tre sårbarheter. I denne artikkelen skal vi forklare hva disse sårbarhetene går ut på, og hvordan problemet kan løses.

Du finner kode du kan bruke nederst i artikkelen.

Første sårbarhet

Kode for sårbarhet 1: CVE-2024-5905 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter, tillater en lokal og lavprivilegert Windows-bruker å forstyrre noe av funksjonaliteten til agenten.

På en annen side, er de ikke i stand til å forstyrre Cortex XDR agentens beskyttelsesmekanismer ved å bruke denne sårbarheten.

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3.

Derfor blir sårbarheten kategorisert som lav med en score på 2.

Andre sårbarhet

Kode for sårbarhet 2: CVE-2024-5907 Cortex XDR Agent

En privilegieeskalering (PE) sårbarhet i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lokal bruker å utføre programmer med forhøyede privilegier.

Samtidig, krever en suksessfull utnyttelse at den lokale brukeren klarer å utnytte en «race condition». Noe som gjør at denne sårbarheten er vanskelig å utnytte.

Sårbarheten berører Cortex XDR Agenter på Windows plattformer, hvor agenten er eldre enn versjon 8.4. Samt agent versjon 8.1 på alle platformer.

Denne sårbarheten blir kategorisert som medium med en score på 5.2.

Tredje sårbarhet

Kode for sårbarhet 3: CVE-2024-5909 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lavprivilegert lokal Windows-bruker å deaktivere agenten.

Dette problemet kan utnyttes med malware for å deaktivere Cortex XDR agenten, og deretter utføre ondsinnet aktivitet.

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3

Denne sårbarheten blir kategorisert som medium med en score på 6.8.

Slik oppdager du hvilke endepunkter som er rammet

Jeg (Erik) skrev en spørring til XQL for å avdekke hvilke endepunkter som er berørt. Resultatet fra spørringen gir en liste på endepunkter som må oppgraderes.

Dersom Cortex XDR er konfigurert hos dere til å automatisk oppgraderer agentene, vil denne listen inneholde agenter som ikke lenger klarer å oppdatere seg selv. Disse trenger tilsyn.

Samtidig, vil den også inneholde agenter som ikke har vært online siste 90 dagene. Disse kan fortsatt oppdatere seg selv om de blir satt online.

Løsning: klipp og lim

Denne koden kan du bruke for å løse problemet.

Kode kopiert

config case_sensitive = false timeframe between "-24h" and "now"
| dataset = endpoints 
| filter endpoint_status!=connection_lost
| filter (platform = windows AND agent_version not in("8.4.*")) OR (platform != windows AND agent_version not in("8.4.*", "8.3.*", "8.2.*"))
| fields endpoint_name , endpoint_type , platform , endpoint_status , agent_version , last_seen

Hvis du bruker koden rett, vil du få en tilbakemelding som ser slik ut: