Plateforme
paloalto
Composant
globalprotect
Corrigé dans
5.1.12
6.0.8
6.1.2
6.2.1
Une vulnérabilité d'élévation de privilèges (PE) a été découverte dans l'application GlobalProtect de Palo Alto Networks pour Windows. Cette faille permet à un utilisateur local d'exécuter des programmes avec des privilèges élevés, bien que son exploitation nécessite la réussite d'une condition de concurrence. Les versions affectées incluent celles comprises entre 5.1 et 6.2.1. Une correction est disponible dans la version 6.2.1.
L'exploitation réussie de cette vulnérabilité permet à un attaquant local de contourner les mécanismes de contrôle d'accès et d'exécuter des programmes avec des privilèges système. Cela pourrait permettre à l'attaquant de modifier des fichiers système, d'installer des logiciels malveillants, de compromettre d'autres systèmes sur le réseau ou d'accéder à des données sensibles. La condition de concurrence rend l'exploitation plus complexe, mais une fois surmontée, l'impact peut être significatif, permettant un contrôle substantiel sur le système affecté. Bien qu'il n'y ait pas d'exploitations publiques connues similaires, le principe d'élévation de privilèges rappelle les vulnérabilités qui ont permis à des attaquants de prendre le contrôle de systèmes critiques.
Cette vulnérabilité a été publiée le 13 mars 2024. Bien qu'elle soit classée comme MODÉRÉE (CVSS 4.5), la condition de concurrence rend l'exploitation plus difficile. Il n'y a pas d'exploitations actives confirmées à ce jour, ni de Proof of Concept (PoC) publiquement disponibles. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations deploying Palo Alto Networks GlobalProtect app on Windows devices are at risk. This includes environments with less restrictive local user account policies and those where local administrative access is frequently granted. Shared hosting environments utilizing GlobalProtect are also potentially vulnerable.
• windows / supply-chain:
Get-Process -ErrorAction SilentlyContinue | Where-Object {$_.ProcessName -like '*globalprotect*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4688)] and EventData[Data[@Name='TargetUserName']='SYSTEM']" -MaxEvents 10• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect or suspicious executables running with elevated privileges (using tools like Autoruns from Sysinternals).
disclosure
Statut de l'Exploit
EPSS
0.40% (percentile 61%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'application GlobalProtect vers la version 6.2.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les privilèges des utilisateurs locaux pour limiter l'impact potentiel d'une exploitation réussie. Surveillez attentivement les journaux d'événements Windows pour détecter toute activité suspecte liée à l'application GlobalProtect. Bien qu'il n'existe pas de règles WAF spécifiques, une surveillance accrue du trafic réseau vers l'application peut aider à identifier les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers système et des configurations pour vous assurer qu'aucune modification malveillante n'a été apportée.
Actualice la aplicación GlobalProtect a la última versión disponible proporcionada por Palo Alto Networks. Esto solucionará la vulnerabilidad de escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-2432 is a medium-severity vulnerability in the Palo Alto Networks GlobalProtect app that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are affected if you are running GlobalProtect app versions 5.1 through 6.2.1 on Windows devices.
Upgrade the GlobalProtect app to version 6.2.1 or later to remediate the vulnerability.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2024-2432.
Refer to the Palo Alto Networks Security Advisories page for the official advisory: https://www.paloaltonetworks.com/support/security
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.