Plataforma
paloalto
Componente
globalprotect
Corregido en
5.1.12
6.0.8
6.1.2
6.2.1
Se ha identificado una vulnerabilidad de elevación de privilegios (PE) en la aplicación GlobalProtect de Palo Alto Networks para dispositivos Windows. Esta vulnerabilidad permite a un usuario local ejecutar programas con privilegios elevados, aunque la ejecución requiere la explotación exitosa de una condición de carrera. Las versiones afectadas son las comprendidas entre 5.1 y 6.2.1, inclusive. Se recomienda actualizar a la versión 6.2.1 para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permitiría a un atacante local obtener privilegios elevados en el sistema afectado. Esto podría resultar en el control total del dispositivo, permitiendo la instalación de malware, el acceso a datos confidenciales y la modificación de la configuración del sistema. El atacante podría, por ejemplo, instalar un keylogger para robar credenciales o modificar archivos de sistema para persistir en el entorno. Aunque la explotación requiere una condición de carrera, la posibilidad de escalada de privilegios representa un riesgo significativo para la seguridad de los dispositivos afectados.
Esta vulnerabilidad ha sido publicada públicamente el 13 de marzo de 2024. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (condición de carrera) sugiere que podría ser explotada con relativa facilidad una vez que se disponga de un PoC. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations deploying Palo Alto Networks GlobalProtect app on Windows devices are at risk. This includes environments with less restrictive local user account policies and those where local administrative access is frequently granted. Shared hosting environments utilizing GlobalProtect are also potentially vulnerable.
• windows / supply-chain:
Get-Process -ErrorAction SilentlyContinue | Where-Object {$_.ProcessName -like '*globalprotect*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4688)] and EventData[Data[@Name='TargetUserName']='SYSTEM']" -MaxEvents 10• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect or suspicious executables running with elevated privileges (using tools like Autoruns from Sysinternals).
disclosure
Estado del Exploit
EPSS
0.40% (61% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la aplicación GlobalProtect a la versión 6.2.1 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de seguridad del sistema para limitar los privilegios de los usuarios locales. Implementar controles de acceso estrictos y monitorear la actividad del sistema en busca de comportamientos sospechosos también puede ayudar a reducir el riesgo. En entornos donde la actualización es problemática, se puede considerar la segmentación de la red para limitar el impacto de una posible explotación.
Actualice la aplicación GlobalProtect a la última versión disponible proporcionada por Palo Alto Networks. Esto solucionará la vulnerabilidad de escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-2432 is a medium-severity vulnerability in the Palo Alto Networks GlobalProtect app that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are affected if you are running GlobalProtect app versions 5.1 through 6.2.1 on Windows devices.
Upgrade the GlobalProtect app to version 6.2.1 or later to remediate the vulnerability.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2024-2432.
Refer to the Palo Alto Networks Security Advisories page for the official advisory: https://www.paloaltonetworks.com/support/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.