プラットフォーム
windows
コンポーネント
cortex-xdr-agent
修正版
7.9.102-CE
8.1.1
8.2.3
8.3.1
CVE-2024-5907は、Palo Alto Networks Cortex XDR Agentにおける特権昇格の脆弱性です。この脆弱性を悪用されると、ローカルユーザーが管理者権限でプログラムを実行できるようになり、システムへの不正アクセスやデータの改ざんにつながる可能性があります。影響を受けるバージョンはCortex XDR Agent 8.4.0以前です。Palo Alto Networksは最新バージョンへのアップグレードを推奨しています。
この脆弱性は、ローカルユーザーがCortex XDR Agentのレースコンディションを悪用することで、管理者権限で任意のコードを実行できる可能性があります。攻撃者は、この権限を利用して機密情報を窃取したり、システム設定を改ざんしたり、マルウェアをインストールしたりすることが考えられます。特に、特権アカウントが使用されている環境では、攻撃の影響が広範囲に及ぶ可能性があります。この脆弱性の悪用は困難であるとされていますが、攻撃者がレースコンディションを特定し、悪用コードを作成した場合、深刻な被害をもたらす可能性があります。
CVE-2024-5907は、2024年6月12日に公開されました。現時点では、公的なPoCは確認されていませんが、レースコンディションの悪用は他のソフトウェアでも確認されており、悪用コードが作成される可能性は否定できません。CISAのKEVリストへの登録状況は確認されていません。NVDデータベースには、詳細な情報が記載されています。
Organizations deploying Palo Alto Networks Cortex XDR agent on Windows systems, particularly those with less stringent local account privilege controls, are at risk. Environments with a high number of local administrator accounts or those lacking robust monitoring of process execution are especially vulnerable.
• windows / supply-chain:
Get-Process -Name CortexXdrAgent | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName PaloAltoNetworks.CortexXDRAgent" | Select-String -Pattern "error"• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CortexXdrAgent*'} | Format-List TaskName, Statedisclosure
エクスプロイト状況
EPSS
0.08% (25% パーセンタイル)
CISA SSVC
Palo Alto Networksは、Cortex XDR Agentを最新バージョンにアップグレードすることを推奨しています。アップグレードが困難な場合は、一時的な緩和策として、ローカルユーザーの権限を制限したり、Cortex XDR Agentのプロセスを監視したりすることが考えられます。また、Windows Defenderなどのセキュリティソフトウェアを最新の状態に保ち、不審なプロセスを検知できるようにすることも重要です。アップグレード後、Cortex XDR Agentのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice el agente Cortex XDR a la última versión disponible. Específicamente, asegúrese de que la versión sea 7.9.102-CE o superior, 8.2.3 o superior, o 8.3.1 o superior. Esto mitigará la vulnerabilidad de escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-5907は、Palo Alto Networks Cortex XDR Agent (Windows)における特権昇格の脆弱性です。ローカルユーザーがレースコンディションを悪用することで、管理者権限でプログラムを実行できるようになる可能性があります。
Cortex XDR Agentのバージョンが8.4.0以前を使用している場合、影響を受けます。最新バージョンへのアップグレードを推奨します。
Palo Alto Networksが提供する最新バージョンにCortex XDR Agentをアップグレードしてください。アップグレードが困難な場合は、一時的な緩和策として、ローカルユーザーの権限を制限することを検討してください。
現時点では、公的なPoCは確認されていませんが、悪用コードが作成される可能性は否定できません。
Palo Alto Networksのセキュリティアドバイザリページで確認できます。詳細は、NVDデータベースまたはPalo Alto Networksのサポートサイトを参照してください。