Plateforme
windows
Composant
cortex-xdr-agent
Corrigé dans
8.4.1
8.3.1
8.2.1
8.1.2
7.9.102-CE
Une vulnérabilité a été découverte dans l'agent Cortex XDR de Palo Alto Networks pour les systèmes Windows. Cette faille affecte les versions 7.9-CE jusqu'à 8.4.0 et permet à un utilisateur local Windows de faible privilège de désactiver l'agent de sécurité. Cette désactivation peut être exploitée par des logiciels malveillants pour opérer sans être détectés par le système de détection et réponse.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un malware de contourner les mécanismes de détection de Cortex XDR. En désactivant l'agent, un attaquant peut échapper à la surveillance, exécuter des actions malveillantes sur le système compromis et potentiellement se déplacer latéralement au sein du réseau sans être détecté. La désactivation de l'agent empêche la collecte de données de sécurité, l'analyse comportementale et les alertes, rendant le système vulnérable à des attaques plus sophistiquées. Cette vulnérabilité est particulièrement préoccupante dans les environnements où Cortex XDR est un composant clé de la stratégie de sécurité, car elle permet de neutraliser une protection essentielle.
Cette vulnérabilité n'a pas encore été ajoutée au KEV (Know Exploited Vulnerabilities) de CISA, mais sa sévérité et la possibilité de désactivation de l'agent en font une cible potentielle pour les attaquants. Il n'y a pas de proof-of-concept (PoC) public connu à ce jour, mais la simplicité de l'exploitation suggère qu'un tel PoC pourrait être développé rapidement. La publication de la vulnérabilité le 2024-06-12 indique un risque accru d'exploitation.
Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.
• windows / supply-chain:
Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.
disclosure
Statut de l'Exploit
EPSS
0.86% (percentile 75%)
CISA SSVC
La mitigation immédiate consiste à mettre à jour l'agent Cortex XDR vers la version 8.2.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les contrôles d'accès aux fichiers de configuration de l'agent pour empêcher les utilisateurs non autorisés de le désactiver. Envisagez également de surveiller les processus et les modifications de configuration de l'agent pour détecter toute activité suspecte. Après la mise à jour, vérifiez que l'agent fonctionne correctement et qu'il collecte les données de sécurité attendues en consultant les journaux de l'agent et en effectuant des tests de détection simulés.
Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5909 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a low-privileged user to disable the agent's protection, potentially enabling malware to operate undetected.
You are affected if you are running Cortex XDR Agent versions 7.9-CE through 8.4.0 on Windows devices.
Upgrade the Cortex XDR agent to version 8.2.1 or later to resolve this vulnerability. Palo Alto Networks provides the patch.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests a potential for future exploitation. Monitor threat intelligence feeds.
Refer to the Palo Alto Networks Security Advisories page for the official advisory regarding CVE-2024-5909: [https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632](https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.