Platform
other
Component
arista-ng-firewall
Opgelost in
17.1.2
CVE-2024-12830 is een Remote Code Execution (RCE) kwetsbaarheid in Arista NG Firewall. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op getroffen systemen. De kwetsbaarheid treft versies 17.1.1–17.1.1 van Arista NG Firewall. Een patch is in ontwikkeling, raadpleeg de vendor advisory voor updates.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeacht authenticatie willekeurige code uit te voeren op de getroffen Arista NG Firewall. Dit kan leiden tot volledige controle over het systeem, inclusief data-exfiltratie, configuratiewijzigingen en het installeren van malware. De kwetsbaarheid is te wijten aan een gebrek aan validatie van gebruikersinvoer in de custom_handler methode, waardoor directory traversal mogelijk is. Een succesvolle exploitatie kan resulteren in een compromis van de gehele netwerkinfrastructuur die door de firewall wordt beschermd. De code wordt uitgevoerd onder de www-data gebruiker.
Deze kwetsbaarheid is openbaar bekend en wordt beschreven in ZDI-CAN-24019. Het is momenteel onbekend of deze kwetsbaarheid actief wordt misbruikt, maar de ongeauthenticeerde aard ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag.
Organizations utilizing Arista NG Firewall in environments with exposed management interfaces are at significant risk. Specifically, deployments with default configurations or those lacking robust network segmentation are particularly vulnerable. Shared hosting environments where multiple tenants share the same firewall instance also face increased risk.
• linux / server: Monitor firewall logs for requests to the /custom_handler endpoint with unusual or potentially malicious file paths. Use journalctl to filter for relevant events.
journalctl -u arista-ngfw -f | grep 'custom_handler'• generic web: Use curl to test the /custom_handler endpoint with various path traversal payloads (e.g., ../etc/passwd).
curl 'http://<firewall_ip>/custom_handler?file=../../../../etc/passwd'• generic web: Check access logs for requests containing suspicious characters or patterns indicative of directory traversal attempts.
disclosure
Exploit Status
EPSS
3.10% (87% percentiel)
CISA SSVC
CVSS-vector
Omdat er momenteel geen beveiligde versie beschikbaar is, is het essentieel om de getroffen systemen te isoleren van het openbare internet. Implementeer tijdelijke maatregelen zoals het configureren van een Web Application Firewall (WAF) om directory traversal pogingen te blokkeren. Controleer de toegangscontrolelijsten (ACL's) om de toegang tot de custom_handler endpoint te beperken tot vertrouwde bronnen. Monitor de logs op verdachte activiteit. Na de release van de patch, upgrade onmiddellijk naar de beveiligde versie. Verifieer na de upgrade dat de kwetsbaarheid is verholpen door te controleren of directory traversal pogingen worden geblokkeerd.
Actualizar Arista NG Firewall a una versión posterior a la 17.1.1 que corrija la vulnerabilidad de directory traversal en el método custom_handler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12830 is a Remote Code Execution vulnerability in Arista NG Firewall versions 17.1.1–17.1.1, allowing attackers to execute code without authentication due to a flaw in the custom_handler method.
If you are running Arista NG Firewall version 17.1.1–17.1.1, you are potentially affected by this vulnerability. Check your firewall version and apply the recommended patch.
Upgrade to a patched version of Arista NG Firewall as soon as possible. Consult the official Arista advisory for specific upgrade instructions.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation. Monitor security advisories and implement mitigations proactively.
Refer to the official Arista Networks security advisory for detailed information and mitigation steps: [https://www.arista.com/en/support/security/advisories/cve-2024-12830](https://www.arista.com/en/support/security/advisories/cve-2024-12830)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.