Platform
windows
Component
cortex-xdr-agent
Opgelost in
7.9.102-CE
8.1.1
8.2.3
8.3.1
CVE-2024-5907 beschrijft een privilege escalation kwetsbaarheid in de Palo Alto Networks Cortex XDR agent voor Windows. Een succesvolle exploitatie stelt een lokale gebruiker in staat om programma's met verhoogde privileges uit te voeren, wat potentieel kan leiden tot ongeautoriseerde toegang en controle over het systeem. Deze kwetsbaarheid treft versies van de agent tot en met 8.4.0. Palo Alto Networks heeft een update uitgebracht om dit probleem te verhelpen.
De impact van deze privilege escalation kwetsbaarheid is aanzienlijk. Een aanvaller die de race condition succesvol kan exploiteren, kan de agent gebruiken om code met de privileges van het systeem uit te voeren. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, installatie van malware, en verdere compromittering van het netwerk. Hoewel de exploitatie als moeilijk wordt beschouwd, is de potentiële impact groot, aangezien een succesvolle aanval de volledige controle over de geïnfecteerde Windows-host kan overnemen. De race condition maakt de exploitatie complexer, maar sluit niet uit dat deze in de toekomst kan worden geautomatiseerd of door geavanceerde aanvallers wordt gebruikt.
Op dit moment zijn er geen publiekelijk beschikbare proof-of-concept exploits voor CVE-2024-5907. De kwetsbaarheid vereist de exploitatie van een race condition, wat de exploitatie complexer maakt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor dit probleem onderstreept. De publicatiedatum van de CVE is 2024-06-12.
Organizations deploying Palo Alto Networks Cortex XDR agent on Windows systems, particularly those with less stringent local account privilege controls, are at risk. Environments with a high number of local administrator accounts or those lacking robust monitoring of process execution are especially vulnerable.
• windows / supply-chain:
Get-Process -Name CortexXdrAgent | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName PaloAltoNetworks.CortexXDRAgent" | Select-String -Pattern "error"• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CortexXdrAgent*'} | Format-List TaskName, Statedisclosure
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2024-5907 is het upgraden van de Palo Alto Networks Cortex XDR agent naar de meest recente versie. Controleer de Palo Alto Networks security advisories voor de specifieke versie die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van lokale gebruikersaccounts om de potentiële impact van een succesvolle exploitatie te minimaliseren. Monitor de systemen op verdachte processen die met verhoogde privileges worden uitgevoerd. Na de upgrade, verifieer de installatie door de versie van de Cortex XDR agent te controleren en te bevestigen dat de nieuwste beveiligingspatches zijn geïnstalleerd.
Actualice el agente Cortex XDR a la última versión disponible. Específicamente, asegúrese de que la versión sea 7.9.102-CE o superior, 8.2.3 o superior, o 8.3.1 o superior. Esto mitigará la vulnerabilidad de escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5907 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a local user to potentially gain elevated privileges by exploiting a race condition.
You are potentially affected if you are running Palo Alto Networks Cortex XDR agent version 8.4.0 or earlier on Windows systems.
Upgrade the Cortex XDR agent to a version that includes the fix. Check Palo Alto Networks' security advisories for the latest fixed version.
There are currently no confirmed reports of active exploitation, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the Palo Alto Networks security advisory page for the latest information and updates regarding CVE-2024-5907.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.