Plataforma
paloalto
Componente
globalprotect-agent
Corrigido em
4.1.11
4.1.11
O CVE-2019-1573 é uma vulnerabilidade de divulgação de informações que afeta o GlobalProtect Agent da Palo Alto Networks. Um atacante autenticado localmente, com acesso à memória do sistema, pode explorar essa falha para obter tokens de autenticação e sessão, comprometendo a segurança da VPN. As versões afetadas incluem o GlobalProtect Agent 4.1.0 para Windows e as versões anteriores a 4.1.10 para macOS. A correção está disponível na versão 4.1*.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante local, que já comprometeu a conta do usuário final, roube tokens de autenticação e sessão. Com esses tokens em mãos, o atacante pode replicar a sessão VPN, efetivamente se passando pelo usuário legítimo e obtendo acesso aos recursos protegidos pela VPN. O impacto pode variar dependendo dos recursos acessíveis ao usuário final, mas pode incluir acesso a dados confidenciais, sistemas internos e aplicações críticas. A ausência de autenticação multifator (MFA) agrava o risco, pois facilita a replicação da sessão VPN.
O CVE-2019-1573 foi publicado em 9 de abril de 2019. Atualmente, não há relatos de exploração ativa em campanhas direcionadas. A probabilidade de exploração é considerada baixa devido à necessidade de acesso local autenticado e à complexidade da exploração. Não está listado no KEV da CISA.
Organizations utilizing Palo Alto Networks GlobalProtect Agent for remote access, particularly those with legacy systems or configurations lacking robust access controls, are at risk. Users with elevated privileges or access to sensitive data are especially vulnerable.
• windows / supply-chain:
Get-Process -Name GlobalProtectAgent | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName GlobalProtectAgent" | Select-String -Pattern "authentication token"• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect Agent or its components.
disclosure
Status do Exploit
EPSS
0.23% (percentil 46%)
Vetor CVSS
A mitigação primária para o CVE-2019-1573 é a atualização para a versão 4.1* do GlobalProtect Agent. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à memória do sistema e fortalecer as políticas de controle de acesso. A implementação de autenticação multifator (MFA) pode ajudar a mitigar o impacto da exploração, mesmo que a sessão VPN seja replicada. Monitore logs de eventos do sistema em busca de atividades suspeitas relacionadas à replicação de sessões VPN.
Atualize o GlobalProtect Agent para a versão 4.1.11 ou posterior. Esta atualização corrige a vulnerabilidade que permite a um atacante local autenticado acessar tokens de autenticação e/ou sessão.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-1573 is a vulnerability in GlobalProtect Agent allowing local attackers to access authentication tokens, potentially enabling VPN session spoofing.
You are affected if you are using GlobalProtect Agent versions 4.1–4.1*. Check your version and upgrade accordingly.
Upgrade to GlobalProtect Agent version 4.1* or later to resolve this information disclosure vulnerability.
While no widespread exploitation has been publicly reported, diligent patching is recommended to prevent potential attacks.
Refer to the Palo Alto Networks Security Advisories page for details: https://www.paloaltonetworks.com/support/security-advisories
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.