Platform
paloalto
Component
globalprotect-agent
Opgelost in
4.1.11
4.1.11
CVE-2019-1573 beschrijft een informatieblootstelling in Palo Alto Networks GlobalProtect Agent. Een aanvaller met lokale toegang en geauthenticeerde credentials kan tokens in het geheugen inspecteren en deze misbruiken om een VPN-sessie te spoofen en toegang te krijgen als de gebruiker. Dit probleem treft GlobalProtect Agent versies 4.1.0 voor Windows en 4.1.10 en eerder voor macOS. Een upgrade naar versie 4.1* of hoger is vereist om dit te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om de authenticatie- en sessietokens van een gebruiker te stelen. Met deze tokens kan de aanvaller een VPN-sessie spoofen en zich voordoen als de gebruiker, waardoor ongeautoriseerde toegang tot beveiligde resources mogelijk is. De impact is aanzienlijk, omdat de aanvaller de privileges van de gebruiker kan misbruiken om gevoelige data te bekijken, te wijzigen of te verwijderen. Dit kan leiden tot datalekken, verstoring van de dienstverlening en reputatieschade. Hoewel de aanvaller lokale toegang en geauthenticeerde credentials nodig heeft, is dit scenario realistisch in omgevingen waar gebruikers hun credentials hergebruiken of waar interne accounts gecompromitteerd zijn.
CVE-2019-1573 werd publiekelijk bekendgemaakt op 9 april 2019. Er zijn geen bekende actieve campagnes of publieke exploits gemeld voor deze kwetsbaarheid. De KEV-status is momenteel niet bekend. De kwetsbaarheid vereist lokale toegang en geauthenticeerde credentials, wat de exploitatie complexer maakt dan bijvoorbeeld remote code execution kwetsbaarheden.
Organizations utilizing Palo Alto Networks GlobalProtect Agent for remote access, particularly those with legacy systems or configurations lacking robust access controls, are at risk. Users with elevated privileges or access to sensitive data are especially vulnerable.
• windows / supply-chain:
Get-Process -Name GlobalProtectAgent | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName GlobalProtectAgent" | Select-String -Pattern "authentication token"• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect Agent or its components.
disclosure
Exploit Status
EPSS
0.23% (46% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-1573 is het upgraden van GlobalProtect Agent naar versie 4.1* of hoger. Palo Alto Networks heeft een patch uitgebracht die dit probleem verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de privileges van lokale accounts en het implementeren van multi-factor authenticatie (MFA) voor VPN-toegang. Controleer ook de configuratie van GlobalProtect Agent om te zorgen voor een veilige configuratie. Na de upgrade, verifieer de correcte werking van GlobalProtect Agent door een VPN-verbinding te maken en te controleren of de authenticatie verloopt zoals verwacht.
Werk GlobalProtect Agent bij naar versie 4.1.11 of hoger. Deze update corrigeert de kwetsbaarheid die een aanvaller in staat stelt om lokale geauthenticeerde toegang te krijgen tot authenticatie- en/of sessietoestemmingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-1573 is a vulnerability in GlobalProtect Agent allowing local attackers to access authentication tokens, potentially enabling VPN session spoofing.
You are affected if you are using GlobalProtect Agent versions 4.1–4.1*. Check your version and upgrade accordingly.
Upgrade to GlobalProtect Agent version 4.1* or later to resolve this information disclosure vulnerability.
While no widespread exploitation has been publicly reported, diligent patching is recommended to prevent potential attacks.
Refer to the Palo Alto Networks Security Advisories page for details: https://www.paloaltonetworks.com/support/security-advisories
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.