MEDIUMCVE-2024-5909

Cortex XDR Agent: ローカルWindowsユーザーがエージェントを無効化できる

プラットフォーム

windows

コンポーネント

cortex-xdr-agent

修正版

8.4.1

8.3.1

8.2.1

8.1.2

7.9.102-CE

AI Confidence: highNVDEPSS 0.9%レビュー済み: 2026年5月

NVDで見る

保存

Cortex XDR Agent (Windows) において、保護メカニズムの不具合が確認されました。この脆弱性により、ローカルWindowsユーザーは特権昇格なしにエージェントを無効化することが可能です。影響を受けるバージョンは7.9-CEから8.4.0までの範囲です。Palo Alto Networksは8.2.1でこの問題を修正しており、迅速なアップデートを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はCortex XDR Agentを無効化し、その上でシステム上で悪意のある活動を実行できるようになります。エージェントが無効化されることで、マルウェアの検知や防御が困難になり、攻撃の範囲が拡大する可能性があります。特に、Cortex XDR Agentが重要なセキュリティ監視機能を提供している環境では、この脆弱性の影響は深刻です。攻撃者は、この脆弱性を利用して、機密情報の窃取、システムの改ざん、またはランサムウェアの感染などを試みる可能性があります。

悪用の状況

本脆弱性は、CISA KEVに登録されていません。現時点では、公開されているPoCは確認されていませんが、ローカル権限昇格の脆弱性であるため、悪用される可能性は否定できません。NVDは2024年6月12日に公開されており、攻撃者による悪用が開始される可能性も考慮する必要があります。

リスク対象者翻訳中…

Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.

検出手順翻訳中…

• windows / supply-chain:

Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU

• windows / supply-chain:

Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10

• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.

攻撃タイムライン

2024-06-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.86% (75% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントcortex-xdr-agent

ベンダーPalo Alto Networks

影響範囲修正版

8.4.0 – 8.4.08.4.1

8.3.0 – 8.3.08.3.1

8.2.0 – 8.2.08.2.1

8.1.0 – 8.1.18.1.2

7.9-CE – 7.9-CE7.9.102-CE

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-06-12
公開日2024-06-12
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

Cortex XDR Agentのバージョンを8.2.1以降にアップデートすることが最も効果的な対策です。アップデートがすぐに適用できない場合は、一時的な緩和策として、ローカルユーザーがエージェントサービスを停止できないように、サービスアカウントの権限を制限することを検討してください。また、Windows Defenderなどの他のセキュリティ対策を強化し、異常なプロセスや活動を監視することで、攻撃の早期発見に努めることが重要です。アップデート後、エージェントが正常に動作していることを確認してください。

修正方法翻訳中…

Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-5909 — ローカル権限昇格 in Cortex XDR Agentとは何ですか？

Cortex XDR Agent (Windows) の保護メカニズムの不具合により、ローカルWindowsユーザーがエージェントを無効化できる脆弱性です。CVSS評価は未定です。

CVE-2024-5909 in Cortex XDR Agentに影響を受けますか？

Cortex XDR Agentのバージョンが7.9-CE–8.4.0の場合、影響を受けます。8.2.1以降にアップデートしてください。

CVE-2024-5909 in Cortex XDR Agentを修正するにはどうすればよいですか？

Cortex XDR Agentをバージョン8.2.1以降にアップデートしてください。アップデートが困難な場合は、一時的な緩和策として、サービスアカウントの権限を制限してください。

CVE-2024-5909は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2024-5909に関するPalo Alto Networksの公式アドバイザリはどこで入手できますか？

Palo Alto Networksのセキュリティアドバイザリページで確認できます。詳細は、Palo Alto Networksの公式ウェブサイトを参照してください。

Cortex XDR Agent: ローカルWindowsユーザーがエージェントを無効化できる

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2024-5909 — ローカル権限昇格 in Cortex XDR Agentとは何ですか？

CVE-2024-5909 in Cortex XDR Agentに影響を受けますか？

CVE-2024-5909 in Cortex XDR Agentを修正するにはどうすればよいですか？

CVE-2024-5909は積極的に悪用されていますか？

CVE-2024-5909に関するPalo Alto Networksの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?