Plataforma
other
Componente
arista-ng-firewall
Corregido en
17.1.2
La vulnerabilidad CVE-2024-12830 es una falla de Ejecución Remota de Código (RCE) que afecta a las versiones 17.1.1–17.1.1 del Arista NG Firewall. Esta falla permite a atacantes no autenticados ejecutar código arbitrario en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de la red. La vulnerabilidad se debe a una validación insuficiente de rutas de archivo en el método custom_handler. Se recomienda actualizar a la versión corregida lo antes posible.
Un atacante que explote con éxito esta vulnerabilidad puede obtener control total sobre el sistema Arista NG Firewall. Esto implica la capacidad de ejecutar comandos arbitrarios con los privilegios del usuario www-data, lo que podría permitir el acceso a datos sensibles, la modificación de la configuración del firewall, la instalación de malware o incluso el uso del firewall como punto de apoyo para atacar otros sistemas en la red. La falta de autenticación necesaria para la explotación amplía significativamente el riesgo, ya que cualquier atacante externo puede intentar aprovecharse de esta falla. La ejecución de código arbitrario en un firewall representa un riesgo crítico para la seguridad de la red, ya que este dispositivo a menudo actúa como la primera línea de defensa contra ataques externos.
La vulnerabilidad fue reportada a Arista Networks por ZDI (Zero Day Initiative) como ZDI-CAN-24019. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la falta de autenticación necesaria para la explotación sugiere un riesgo elevado. La vulnerabilidad ha sido publicada públicamente el 20 de diciembre de 2024. Se recomienda monitorizar las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations utilizing Arista NG Firewall in environments with exposed management interfaces are at significant risk. Specifically, deployments with default configurations or those lacking robust network segmentation are particularly vulnerable. Shared hosting environments where multiple tenants share the same firewall instance also face increased risk.
• linux / server: Monitor firewall logs for requests to the /custom_handler endpoint with unusual or potentially malicious file paths. Use journalctl to filter for relevant events.
journalctl -u arista-ngfw -f | grep 'custom_handler'• generic web: Use curl to test the /custom_handler endpoint with various path traversal payloads (e.g., ../etc/passwd).
curl 'http://<firewall_ip>/custom_handler?file=../../../../etc/passwd'• generic web: Check access logs for requests containing suspicious characters or patterns indicative of directory traversal attempts.
disclosure
Estado del Exploit
EPSS
3.10% (87% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el Arista NG Firewall a una versión corregida que solucione la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción del acceso a la interfaz web del firewall, la implementación de reglas de firewall que bloqueen el tráfico sospechoso y la monitorización de los registros del sistema en busca de actividad inusual. Además, se puede considerar la deshabilitación temporal del método custom_handler si no es esencial para el funcionamiento del firewall. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando los registros del sistema y realizando pruebas de penetración.
Actualizar Arista NG Firewall a una versión posterior a la 17.1.1 que corrija la vulnerabilidad de directory traversal en el método custom_handler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12830 is a Remote Code Execution vulnerability in Arista NG Firewall versions 17.1.1–17.1.1, allowing attackers to execute code without authentication due to a flaw in the custom_handler method.
If you are running Arista NG Firewall version 17.1.1–17.1.1, you are potentially affected by this vulnerability. Check your firewall version and apply the recommended patch.
Upgrade to a patched version of Arista NG Firewall as soon as possible. Consult the official Arista advisory for specific upgrade instructions.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation. Monitor security advisories and implement mitigations proactively.
Refer to the official Arista Networks security advisory for detailed information and mitigation steps: [https://www.arista.com/en/support/security/advisories/cve-2024-12830](https://www.arista.com/en/support/security/advisories/cve-2024-12830)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.