Plataforma
windows
Componente
cortex-xdr-agent
Corregido en
7.9.102-CE
8.1.1
8.2.3
8.3.1
Se ha identificado una vulnerabilidad de elevación de privilegios (PE) en el agente Cortex XDR de Palo Alto Networks para dispositivos Windows. Esta falla permite a un usuario local ejecutar programas con privilegios elevados, aunque la explotación requiere la superación exitosa de una condición de carrera, lo que dificulta su aprovechamiento. La vulnerabilidad afecta a las versiones del agente Cortex XDR anteriores o iguales a la 8.4.0. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permitiría a un atacante local obtener acceso no autorizado a datos sensibles y recursos del sistema. Un usuario malintencionado podría, por ejemplo, acceder a registros de eventos confidenciales, modificar la configuración del sistema o instalar software malicioso con privilegios elevados. Aunque la condición de carrera dificulta la explotación, la posibilidad de obtener control administrativo sobre el sistema representa un riesgo significativo. Esta vulnerabilidad, si bien no es trivial de explotar, podría permitir el movimiento lateral dentro de la red si el atacante ya tiene una presencia inicial en el sistema afectado.
La vulnerabilidad CVE-2024-5907 se publicó el 12 de junio de 2024. Actualmente, no se ha añadido a la lista KEV de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (condición de carrera) sugiere que podría ser explotada por atacantes con conocimientos técnicos avanzados. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying Palo Alto Networks Cortex XDR agent on Windows systems, particularly those with less stringent local account privilege controls, are at risk. Environments with a high number of local administrator accounts or those lacking robust monitoring of process execution are especially vulnerable.
• windows / supply-chain:
Get-Process -Name CortexXdrAgent | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName PaloAltoNetworks.CortexXDRAgent" | Select-String -Pattern "error"• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CortexXdrAgent*'} | Format-List TaskName, Statedisclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
La mitigación principal es actualizar el agente Cortex XDR a una versión corregida. Palo Alto Networks ha publicado una actualización para abordar esta vulnerabilidad. Si la actualización inmediata no es posible debido a problemas de compatibilidad o tiempo de inactividad, se recomienda revisar la documentación de Palo Alto Networks para posibles configuraciones alternativas o parches temporales. Monitorear los registros del sistema en busca de actividad sospechosa relacionada con la explotación de condiciones de carrera también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirmar que la vulnerabilidad ha sido resuelta verificando la versión del agente Cortex XDR.
Actualice el agente Cortex XDR a la última versión disponible. Específicamente, asegúrese de que la versión sea 7.9.102-CE o superior, 8.2.3 o superior, o 8.3.1 o superior. Esto mitigará la vulnerabilidad de escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5907 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are potentially affected if you are running Palo Alto Networks Cortex XDR agent version 8.4.0 or earlier on Windows systems.
Upgrade the Cortex XDR agent to a version that includes the fix. Check Palo Alto Networks' security advisories for the latest fixed version.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Palo Alto Networks security advisory page for the latest information and updates regarding CVE-2024-5907.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.