Platform
windows
Component
cortex-xdr-agent
Opgelost in
8.4.1
8.3.1
8.2.1
8.1.2
7.9.102-CE
CVE-2024-5909 beschrijft een kwetsbaarheid in de Palo Alto Networks Cortex XDR agent voor Windows. Deze kwetsbaarheid stelt een lokale, niet-bevoorrechte Windows gebruiker in staat om de agent uit te schakelen, waardoor malware ongehinderd operaties kan uitvoeren. De kwetsbaarheid treft versies 7.9-CE tot en met 8.4.0, en een fix is beschikbaar in versie 8.2.1.
Een succesvolle exploitatie van CVE-2024-5909 stelt een aanvaller in staat om de Cortex XDR agent op een Windows systeem uit te schakelen. Dit heeft directe gevolgen voor de detectie- en responsmogelijkheden van de endpoint security oplossing. Malware kan zich daardoor ongezien verspreiden en schade aanrichten. De impact is aanzienlijk, omdat de agent een cruciaal onderdeel vormt van de beveiligingsinfrastructuur. Een aanvaller kan bijvoorbeeld lateraal bewegen binnen het netwerk nadat de agent is uitgeschakeld, of gevoelige data stelen zonder gedetecteerd te worden. Dit scenario is vergelijkbaar met situaties waarin traditionele antivirussoftware wordt uitgeschakeld om malware-activiteit te verbergen.
Op dit moment (2024-06-12) is er geen publieke exploitatie van CVE-2024-5909 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). Er zijn geen openbare proof-of-concept exploits beschikbaar. De publicatiedatum van de CVE is 2024-06-12.
Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.
• windows / supply-chain:
Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.
disclosure
Exploit Status
EPSS
0.86% (75% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2024-5909 is het upgraden van de Cortex XDR agent naar versie 8.2.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van lokale gebruikersaccounts om de impact te minimaliseren. Controleer de toegangsrechten en privileges van gebruikersaccounts om te voorkomen dat niet-bevoorrechte gebruikers de agent kunnen uitschakelen. Na de upgrade, verifieer de functionaliteit van de Cortex XDR agent door te controleren of deze actief is en correct functioneert in de omgeving.
Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5909 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a low-privileged user to disable the agent's protection, potentially enabling malware to operate undetected.
You are affected if you are running Cortex XDR Agent versions 7.9-CE through 8.4.0 on Windows devices.
Upgrade the Cortex XDR agent to version 8.2.1 or later to resolve this vulnerability. Palo Alto Networks provides the patch.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests a potential for future exploitation. Monitor threat intelligence feeds.
Refer to the Palo Alto Networks Security Advisories page for the official advisory regarding CVE-2024-5909: [https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632](https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.