Sicra Header Logo
  • Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
13.06.2024
min tid å lese

Sårbarhet i Cortex XDR agenten – Tre sårbarheter annonsert

Palo Alto Networks opplyser om tre sårbarheter som gjelder for Cortex XDR agenten.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Sårbarhet i Cortex XDR agenten – Tre sårbarheter annonsert</span>
Sicra_Portrait_Crop_1200x1500px_9480
Erik Feed WieLogg og forensics
Splunk-spesialist med analytiske evner

En sårbarhet er alltid noe som kan skape en kinkig situasjon. Heldigvis er Palo Alto Networks raske til å opplyse om de sårbarhetene som dukker opp.

På ettermiddagen 12. juni opplyste de om tre sårbarheter. I denne artikkelen skal vi forklare hva disse sårbarhetene går ut på, og hvordan problemet kan løses.

Du finner kode du kan bruke nederst i artikkelen.  

Første sårbarhet  

Kode for sårbarhet 1: CVE-2024-5905 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter, tillater en lokal og lavprivilegert Windows-bruker å forstyrre noe av funksjonaliteten til agenten.

På en annen side, er de ikke i stand til å forstyrre Cortex XDR agentens beskyttelsesmekanismer ved å bruke denne sårbarheten.   

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3.

Derfor blir sårbarheten kategorisert som lav med en score på 2.

Andre sårbarhet   

Kode for sårbarhet 2: CVE-2024-5907 Cortex XDR Agent

En privilegieeskalering (PE) sårbarhet i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lokal bruker å utføre programmer med forhøyede privilegier.

Samtidig, krever en suksessfull utnyttelse at den lokale brukeren klarer å utnytte en «race condition». Noe som gjør at denne sårbarheten er vanskelig å utnytte.    

Sårbarheten berører Cortex XDR Agenter på Windows plattformer, hvor agenten er eldre enn versjon 8.4. Samt agent versjon 8.1 på alle platformer.

Denne sårbarheten blir kategorisert som medium med en score på 5.2.

Tredje sårbarhet

Kode for sårbarhet 3: CVE-2024-5909 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lavprivilegert lokal Windows-bruker å deaktivere agenten.

Dette problemet kan utnyttes med malware for å deaktivere Cortex XDR agenten, og deretter utføre ondsinnet aktivitet.  

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3

Denne sårbarheten blir kategorisert som medium med en score på 6.8.

Slik oppdager du hvilke endepunkter som er rammet

Jeg (Erik) skrev en spørring til XQL for å avdekke hvilke endepunkter som er berørt. Resultatet fra spørringen gir en liste på endepunkter som må oppgraderes.

Dersom Cortex XDR er konfigurert hos dere til å automatisk oppgraderer agentene, vil denne listen inneholde agenter som ikke lenger klarer å oppdatere seg selv. Disse trenger tilsyn.

Samtidig, vil den også inneholde agenter som ikke har vært online siste 90 dagene. Disse kan fortsatt oppdatere seg selv om de blir satt online.

Løsning: klipp og lim

Denne koden kan du bruke for å løse problemet.

Kode kopiert

config case_sensitive = false timeframe between "-24h" and "now"
| dataset = endpoints
| filter endpoint_status!=connection_lost
| filter (platform = windows AND agent_version not in("8.4.*")) OR (platform != windows AND agent_version not in("8.4.*", "8.3.*", "8.2.*"))
| fields endpoint_name , endpoint_type , platform , endpoint_status , agent_version , last_seen
Hvis du bruker koden rett, vil du få en tilbakemelding som ser slik ut:
2024-06-13-09_54_30-XQL-Search-Cortex-XDR-Sicra
Hvis alt har blitt gjort riktig, bør problemene nå være løst

Les mer

Cybersikkerhet og verdiskaping: En balansekunst
Blogg

Cybersikkerhet og verdiskaping: En balansekunst

Sikkerhet skal skape muligheter, ikke begrensninger.
Hva gjør du når du blir utsatt for et cyberangrep?
Blogg

Hva gjør du når du blir utsatt for et cyberangrep?

Unngå feilgrep – lær hva du bør gjøre i starten av et cyberangrep.
Fra default til sikkert – slik gjør du Windows-innstillingene tryggere
Blogg

Fra default til sikkert – slik gjør du Windows-innstillingene tryggere

Over tid kan et Windows-miljø fylt med tilpasninger og tillegg utvikle seg til å bli komplekst, uoversiktlig og mer sårbart.
Kunstig intelligens og cyberkriminalitet: En ny økonomi i vekst
Blogg

Kunstig intelligens og cyberkriminalitet: En ny økonomi i vekst

Når AI driver cyberkriminalitet, må sikkerhet bygges inn fra starten av.

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488
Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt

Tel: +47 648 08 488
E-post: firmapost@sicra.no

Tollbugata 8, 0152 Oslo. Norge

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
Sicra Footer Logo
Sicra © 2025
Personvern