Plataforma
windows
Componente
cortex-xdr-agent
Corregido en
8.4.1
8.3.1
8.2.1
8.1.2
7.9.102-CE
El CVE-2024-5909 afecta al agente Cortex XDR de Palo Alto Networks en dispositivos Windows. Esta vulnerabilidad permite a un usuario local de Windows con privilegios limitados deshabilitar el agente, lo que podría ser explotado por malware para evadir la detección y realizar actividades maliciosas. Las versiones afectadas son 7.9-CE hasta la 8.4.0, y la solución es actualizar a la versión 8.2.1 o posterior.
La principal consecuencia de esta vulnerabilidad es la capacidad de malware para evadir la detección por parte del Cortex XDR Agent. Al deshabilitar el agente, el malware puede operar sin ser monitoreado, lo que aumenta significativamente el riesgo de exfiltración de datos, ransomware, o la instalación de puertas traseras. Un atacante podría explotar esta vulnerabilidad para comprometer un sistema y luego moverse lateralmente a otros sistemas dentro de la red, especialmente si el agente se utiliza para la detección de amenazas en puntos finales críticos. La falta de visibilidad proporcionada por el agente deshabilitado amplía el radio de explosión de un ataque, permitiendo que se propague sin ser detectado.
El CVE-2024-5909 no aparece en el KEV de CISA al momento de esta redacción. La probabilidad de explotación se considera baja a moderada, ya que requiere acceso local al sistema y conocimiento de la vulnerabilidad. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la facilidad de explotación podría cambiar esto. La vulnerabilidad fue publicada el 12 de junio de 2024.
Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.
• windows / supply-chain:
Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.
disclosure
Estado del Exploit
EPSS
0.86% (75% percentil)
CISA SSVC
La mitigación principal para el CVE-2024-5909 es actualizar el Cortex XDR Agent a la versión 8.2.1 o posterior. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda revisar los permisos de usuario en los sistemas Windows para limitar el acceso a las funciones que permiten la desactivación del agente. Aunque no es una solución completa, restringir los privilegios de los usuarios puede dificultar la explotación de la vulnerabilidad. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear intentos de manipulación de la configuración del agente también podría proporcionar una capa adicional de protección. Después de la actualización, verificar que el agente se esté ejecutando correctamente y que los registros de eventos no muestren intentos de desactivación.
Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5909 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a low-privileged user to disable the agent's protection, potentially enabling malware to operate undetected.
You are affected if you are running Cortex XDR Agent versions 7.9-CE through 8.4.0 on Windows devices.
Upgrade the Cortex XDR agent to version 8.2.1 or later to resolve this vulnerability. Palo Alto Networks provides the patch.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests a potential for future exploitation. Monitor threat intelligence feeds.
Refer to the Palo Alto Networks Security Advisories page for the official advisory regarding CVE-2024-5909: [https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632](https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.