Plataforma
other
Componente
arista-ng-firewall
Corrigido em
17.1.2
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no Arista NG Firewall, afetando as versões 17.1.1–17.1.1. Esta falha permite que atacantes remotos executem código arbitrário no sistema, sem a necessidade de autenticação. A vulnerabilidade reside na falta de validação adequada de um caminho fornecido pelo usuário no método custom_handler, possibilitando a execução de código no contexto do usuário www-data.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante remoto obtenha controle total sobre o sistema Arista NG Firewall. O atacante pode executar comandos arbitrários, instalar malware, roubar dados confidenciais e potencialmente comprometer toda a rede. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, tornando o sistema vulnerável a ataques não autenticados. A execução de código no contexto do usuário www-data pode permitir o acesso a informações sensíveis e a capacidade de escalar privilégios, dependendo da configuração do sistema.
A vulnerabilidade foi relatada à Arista Networks através do ZDI (Zero Day Initiative) com o ID ZDI-CAN-24019. A probabilidade de exploração é considerada alta devido à ausência de autenticação e à facilidade de exploração. Não há informações disponíveis sobre campanhas de exploração ativas no momento da publicação. A vulnerabilidade foi adicionada ao NVD (National Vulnerability Database) em 20 de dezembro de 2024.
Organizations utilizing Arista NG Firewall in environments with exposed management interfaces are at significant risk. Specifically, deployments with default configurations or those lacking robust network segmentation are particularly vulnerable. Shared hosting environments where multiple tenants share the same firewall instance also face increased risk.
• linux / server: Monitor firewall logs for requests to the /custom_handler endpoint with unusual or potentially malicious file paths. Use journalctl to filter for relevant events.
journalctl -u arista-ngfw -f | grep 'custom_handler'• generic web: Use curl to test the /custom_handler endpoint with various path traversal payloads (e.g., ../etc/passwd).
curl 'http://<firewall_ip>/custom_handler?file=../../../../etc/passwd'• generic web: Check access logs for requests containing suspicious characters or patterns indicative of directory traversal attempts.
disclosure
Status do Exploit
EPSS
3.10% (percentil 87%)
CISA SSVC
Vetor CVSS
A correção oficial para esta vulnerabilidade deve ser aplicada o mais rápido possível. Enquanto a correção não estiver disponível, considere as seguintes medidas de mitigação: implementar regras de firewall para restringir o acesso ao método custom_handler de fontes não confiáveis. Utilizar um Web Application Firewall (WAF) para filtrar solicitações maliciosas. Monitorar logs do sistema em busca de atividades suspeitas relacionadas à exploração desta vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere a reversão para uma versão anterior do Arista NG Firewall que não seja afetada, se disponível. Após a aplicação da correção, verifique a integridade do sistema e confirme que a vulnerabilidade foi eliminada.
Actualizar Arista NG Firewall a una versión posterior a la 17.1.1 que corrija la vulnerabilidad de directory traversal en el método custom_handler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12830 is a Remote Code Execution vulnerability in Arista NG Firewall versions 17.1.1–17.1.1, allowing attackers to execute code without authentication due to a flaw in the custom_handler method.
If you are running Arista NG Firewall version 17.1.1–17.1.1, you are potentially affected by this vulnerability. Check your firewall version and apply the recommended patch.
Upgrade to a patched version of Arista NG Firewall as soon as possible. Consult the official Arista advisory for specific upgrade instructions.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation. Monitor security advisories and implement mitigations proactively.
Refer to the official Arista Networks security advisory for detailed information and mitigation steps: [https://www.arista.com/en/support/security/advisories/cve-2024-12830](https://www.arista.com/en/support/security/advisories/cve-2024-12830)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.