Plateforme
other
Composant
arista-ng-firewall
Corrigé dans
17.1.2
La vulnérabilité CVE-2024-12830 est une faille d'exécution de code à distance (RCE) affectant les pare-feu Arista NG Firewall. Cette faille permet à un attaquant non authentifié d'exécuter du code arbitraire sur le système. Elle touche les versions 17.1.1–17.1.1 et nécessite une mise à jour vers une version corrigée pour atténuer le risque.
Cette vulnérabilité présente un risque élevé car elle permet à un attaquant d'obtenir un contrôle total sur le pare-feu Arista NG Firewall sans nécessiter d'authentification. Un attaquant pourrait exploiter cette faille pour compromettre les données sensibles transitant par le pare-feu, modifier les règles de pare-feu, ou utiliser le pare-feu comme point de pivot pour attaquer d'autres systèmes sur le réseau interne. L'exécution de code se fait dans le contexte de l'utilisateur www-data, ce qui pourrait permettre l'escalade de privilèges si ce compte dispose de droits d'accès étendus. La simplicité de l'exploitation, sans authentification requise, rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité a été divulguée publiquement le 20 décembre 2024. Elle a été signalée initialement par ZDI-CAN-24019. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de l'absence d'authentification requise. Il n'y a pas d'indication d'exploitation active à ce jour, mais la publication de la vulnérabilité augmente le risque d'attaques.
Organizations utilizing Arista NG Firewall in environments with exposed management interfaces are at significant risk. Specifically, deployments with default configurations or those lacking robust network segmentation are particularly vulnerable. Shared hosting environments where multiple tenants share the same firewall instance also face increased risk.
• linux / server: Monitor firewall logs for requests to the /custom_handler endpoint with unusual or potentially malicious file paths. Use journalctl to filter for relevant events.
journalctl -u arista-ngfw -f | grep 'custom_handler'• generic web: Use curl to test the /custom_handler endpoint with various path traversal payloads (e.g., ../etc/passwd).
curl 'http://<firewall_ip>/custom_handler?file=../../../../etc/passwd'• generic web: Check access logs for requests containing suspicious characters or patterns indicative of directory traversal attempts.
disclosure
Statut de l'Exploit
EPSS
3.10% (percentile 87%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement Arista NG Firewall vers une version corrigée dès que celle-ci sera disponible. En attendant la mise à jour, il est possible de limiter l'exposition du pare-feu en restreignant l'accès au service customhandler. Si la mise à jour n'est pas possible immédiatement, envisagez de configurer un pare-feu web (WAF) pour bloquer les requêtes malveillantes ciblant le customhandler. Surveillez attentivement les journaux du pare-feu pour détecter toute activité suspecte. Il n'existe pas de contournement de configuration connu, la mise à jour est donc primordiale.
Actualizar Arista NG Firewall a una versión posterior a la 17.1.1 que corrija la vulnerabilidad de directory traversal en el método custom_handler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12830 is a Remote Code Execution vulnerability in Arista NG Firewall versions 17.1.1–17.1.1, allowing attackers to execute code without authentication due to a flaw in the custom_handler method.
If you are running Arista NG Firewall version 17.1.1–17.1.1, you are potentially affected by this vulnerability. Check your firewall version and apply the recommended patch.
Upgrade to a patched version of Arista NG Firewall as soon as possible. Consult the official Arista advisory for specific upgrade instructions.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation. Monitor security advisories and implement mitigations proactively.
Refer to the official Arista Networks security advisory for detailed information and mitigation steps: [https://www.arista.com/en/support/security/advisories/cve-2024-12830](https://www.arista.com/en/support/security/advisories/cve-2024-12830)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.