Sicra Header Logo
  • Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
13.06.2024
min tid å lese

Sårbarhet i Cortex XDR agenten – Tre sårbarheter annonsert

Palo Alto Networks opplyser om tre sårbarheter som gjelder for Cortex XDR agenten.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Sårbarhet i Cortex XDR agenten – Tre sårbarheter annonsert</span>
Sicra_Portrait_Crop_1200x1500px_9480
Erik Feed WieLogg og forensics
Splunk-spesialist med analytiske evner

En sårbarhet er alltid noe som kan skape en kinkig situasjon. Heldigvis er Palo Alto Networks raske til å opplyse om de sårbarhetene som dukker opp.

På ettermiddagen 12. juni opplyste de om tre sårbarheter. I denne artikkelen skal vi forklare hva disse sårbarhetene går ut på, og hvordan problemet kan løses.

Du finner kode du kan bruke nederst i artikkelen.  

Første sårbarhet  

Kode for sårbarhet 1: CVE-2024-5905 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter, tillater en lokal og lavprivilegert Windows-bruker å forstyrre noe av funksjonaliteten til agenten.

På en annen side, er de ikke i stand til å forstyrre Cortex XDR agentens beskyttelsesmekanismer ved å bruke denne sårbarheten.   

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3.

Derfor blir sårbarheten kategorisert som lav med en score på 2.

Andre sårbarhet   

Kode for sårbarhet 2: CVE-2024-5907 Cortex XDR Agent

En privilegieeskalering (PE) sårbarhet i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lokal bruker å utføre programmer med forhøyede privilegier.

Samtidig, krever en suksessfull utnyttelse at den lokale brukeren klarer å utnytte en «race condition». Noe som gjør at denne sårbarheten er vanskelig å utnytte.    

Sårbarheten berører Cortex XDR Agenter på Windows plattformer, hvor agenten er eldre enn versjon 8.4. Samt agent versjon 8.1 på alle platformer.

Denne sårbarheten blir kategorisert som medium med en score på 5.2.

Tredje sårbarhet

Kode for sårbarhet 3: CVE-2024-5909 Cortex XDR Agent

Et problem med en beskyttelsesmekanisme i Palo Alto Networks sin Cortex XDR agent på Windows-endepunkter tillater en lavprivilegert lokal Windows-bruker å deaktivere agenten.

Dette problemet kan utnyttes med malware for å deaktivere Cortex XDR agenten, og deretter utføre ondsinnet aktivitet.  

Sårbarheten berører kun Cortex XDR Agenter på Windows plattformer og agenter eldre enn versjon 8.3

Denne sårbarheten blir kategorisert som medium med en score på 6.8.

Slik oppdager du hvilke endepunkter som er rammet

Jeg (Erik) skrev en spørring til XQL for å avdekke hvilke endepunkter som er berørt. Resultatet fra spørringen gir en liste på endepunkter som må oppgraderes.

Dersom Cortex XDR er konfigurert hos dere til å automatisk oppgraderer agentene, vil denne listen inneholde agenter som ikke lenger klarer å oppdatere seg selv. Disse trenger tilsyn.

Samtidig, vil den også inneholde agenter som ikke har vært online siste 90 dagene. Disse kan fortsatt oppdatere seg selv om de blir satt online.

Løsning: klipp og lim

Denne koden kan du bruke for å løse problemet.

Kode kopiert

config case_sensitive = false timeframe between "-24h" and "now"
| dataset = endpoints
| filter endpoint_status!=connection_lost
| filter (platform = windows AND agent_version not in("8.4.*")) OR (platform != windows AND agent_version not in("8.4.*", "8.3.*", "8.2.*"))
| fields endpoint_name , endpoint_type , platform , endpoint_status , agent_version , last_seen
Hvis du bruker koden rett, vil du få en tilbakemelding som ser slik ut:
2024-06-13-09_54_30-XQL-Search-Cortex-XDR-Sicra
Hvis alt har blitt gjort riktig, bør problemene nå være løst

Les mer

Cybersjekk: Gratis sikkerhetsløft for alle virksomheter – men hva gjør du etterpå?
Blogg

Cybersjekk: Gratis sikkerhetsløft for alle virksomheter – men hva gjør du etterpå?

Cybersjekk, gratis verktøy for norske virksomheter
Hva koster et cyberangrep – og hva koster det å være forberedt?
Blogg

Hva koster et cyberangrep – og hva koster det å være forberedt?

Lær mer om kost versus nytte i cybersikkerhet.
Cyberforsikring eller garanti – hva gir best cybersikkerhet?
Blogg

Cyberforsikring eller garanti – hva gir best cybersikkerhet?

Fra cyberforsikring til garanti – hva sikrer din virksomhet best?
Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit
Blogg

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Sikkerhet som gir tillit – og et fortrinn i konkurransen.

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488
Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt

Tel: +47 648 08 488
E-post: firmapost@sicra.no

Tollbugata 8, 0152 Oslo. Norge

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
Sicra Footer Logo
Sicra © 2025
Personvern