Plateforme
paloalto
Composant
globalprotect-agent
Corrigé dans
4.1.11
4.1.11
La vulnérabilité CVE-2019-1573 concerne une divulgation d'informations dans GlobalProtect Agent, affectant les versions 4.1 et antérieures. Un attaquant local authentifié, ayant compromis le compte utilisateur et accès à la mémoire, peut potentiellement accéder à des tokens d'authentification et de session. Cette exposition permettrait à l'attaquant de usurper la session VPN et d'accéder au système en tant qu'utilisateur légitime. Une version corrigée (4.1*) est disponible.
Cette vulnérabilité permet à un attaquant local authentifié, ayant déjà compromis un compte utilisateur, d'exploiter une faille de sécurité pour accéder à des informations sensibles. L'attaquant peut inspecter la mémoire du système et y trouver des tokens d'authentification et de session VPN. En récupérant ces tokens, il peut les rejouer pour se faire passer pour l'utilisateur légitime et obtenir un accès non autorisé au réseau protégé par GlobalProtect. Le risque principal est donc une usurpation d'identité et un accès latéral au réseau, permettant à l'attaquant de se déplacer dans l'infrastructure et d'accéder à des données confidentielles. Cette vulnérabilité, bien que classée comme 'Faible' en termes de CVSS, peut avoir un impact significatif si elle est combinée avec d'autres vecteurs d'attaque.
La vulnérabilité CVE-2019-1573 a été divulguée publiquement le 9 avril 2019. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la possibilité d'exploiter cette faille pour usurper des sessions VPN reste une préoccupation. Il n'est pas listé sur le KEV de CISA à ce jour. Des preuves publiques de concept (PoC) sont disponibles, ce qui augmente le risque d'exploitation par des acteurs malveillants.
Organizations utilizing Palo Alto Networks GlobalProtect Agent for remote access, particularly those with legacy systems or configurations lacking robust access controls, are at risk. Users with elevated privileges or access to sensitive data are especially vulnerable.
• windows / supply-chain:
Get-Process -Name GlobalProtectAgent | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName GlobalProtectAgent" | Select-String -Pattern "authentication token"• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect Agent or its components.
disclosure
Statut de l'Exploit
EPSS
0.23% (percentile 46%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour GlobalProtect Agent vers la version 4.1* ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les contrôles d'accès et de surveillance sur les systèmes affectés. Il est également conseillé de limiter les privilèges des utilisateurs et de mettre en œuvre une authentification multi-facteurs (MFA) pour renforcer la sécurité des sessions VPN. Après la mise à jour, vérifiez l'intégrité des fichiers de l'agent GlobalProtect pour vous assurer qu'il n'a pas été compromis.
Mettez à jour GlobalProtect Agent à la version 4.1.11 ou ultérieure. Cette mise à jour corrige la vulnérabilité qui permet à un attaquant local authentifié d'accéder aux tokens d'authentification et/ou de session.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-1573 is a vulnerability in GlobalProtect Agent allowing local attackers to access authentication tokens, potentially enabling VPN session spoofing.
You are affected if you are using GlobalProtect Agent versions 4.1–4.1*. Check your version and upgrade accordingly.
Upgrade to GlobalProtect Agent version 4.1* or later to resolve this information disclosure vulnerability.
While no widespread exploitation has been publicly reported, diligent patching is recommended to prevent potential attacks.
Refer to the Palo Alto Networks Security Advisories page for details: https://www.paloaltonetworks.com/support/security-advisories
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.