Platform
paloalto
Component
globalprotect
Opgelost in
5.1.12
6.0.8
6.1.2
6.2.1
CVE-2024-2432 beschrijft een privilege escalation kwetsbaarheid in de Palo Alto Networks GlobalProtect app voor Windows. Deze kwetsbaarheid stelt een lokale gebruiker in staat om programma's met verhoogde privileges uit te voeren, mits een race condition succesvol wordt geëxploiteerd. De kwetsbaarheid treft versies van GlobalProtect tussen 5.1 en 6.2.1 inclusief. Palo Alto Networks heeft een fix uitgebracht in versie 6.2.1.
Een succesvolle exploitatie van CVE-2024-2432 kan leiden tot een aanzienlijke verhoging van privileges voor een lokale aanvaller. Dit betekent dat een aanvaller, die normaal gesproken beperkte rechten heeft, toegang kan krijgen tot gevoelige gegevens, systeembestanden kan wijzigen en mogelijk de controle over het systeem kan overnemen. De race condition die hierbij een rol speelt, maakt de exploitatie complexer, maar niet onmogelijk. De impact is vooral groot in omgevingen waar GlobalProtect wordt gebruikt voor veilige toegang tot bedrijfsnetwerken, omdat een gecompromitteerde lokale gebruiker dan mogelijk toegang kan krijgen tot interne resources.
Op dit moment (2024-03-13) is er geen publieke exploitatie van CVE-2024-2432 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen actieve campagnes bekend die deze kwetsbaarheid uitbuiten. De complexiteit van de race condition maakt automatische exploitatie minder waarschijnlijk, maar vereist nog steeds aandacht.
Organizations deploying Palo Alto Networks GlobalProtect app on Windows devices are at risk. This includes environments with less restrictive local user account policies and those where local administrative access is frequently granted. Shared hosting environments utilizing GlobalProtect are also potentially vulnerable.
• windows / supply-chain:
Get-Process -ErrorAction SilentlyContinue | Where-Object {$_.ProcessName -like '*globalprotect*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4688)] and EventData[Data[@Name='TargetUserName']='SYSTEM']" -MaxEvents 10• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect or suspicious executables running with elevated privileges (using tools like Autoruns from Sysinternals).
disclosure
Exploit Status
EPSS
0.40% (61% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-2432 is het updaten van de Palo Alto Networks GlobalProtect app naar versie 6.2.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van lokale gebruikers en het monitoren van systeemactiviteit op verdachte processen. Controleer de toegangsrechten van gebruikers en processen binnen GlobalProtect. Implementeer detectie mechanismen om pogingen tot privilege escalatie te identificeren. Na de upgrade, verifieer de correcte werking van GlobalProtect en controleer de logboeken op eventuele fouten of ongebruikelijke activiteit.
Actualice la aplicación GlobalProtect a la última versión disponible proporcionada por Palo Alto Networks. Esto solucionará la vulnerabilidad de escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-2432 is a medium-severity vulnerability in the Palo Alto Networks GlobalProtect app that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are affected if you are running GlobalProtect app versions 5.1 through 6.2.1 on Windows devices.
Upgrade the GlobalProtect app to version 6.2.1 or later to remediate the vulnerability.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2024-2432.
Refer to the Palo Alto Networks Security Advisories page for the official advisory: https://www.paloaltonetworks.com/support/security
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.