Plataforma
windows
Componente
cortex-xdr-agent
Corrigido em
8.4.1
8.3.1
8.2.1
8.1.2
7.9.102-CE
Uma vulnerabilidade foi descoberta no Cortex XDR Agent da Palo Alto Networks, afetando dispositivos Windows. Essa falha em um mecanismo de proteção permite que um usuário local Windows de baixo privilégio desative o agente. Essa vulnerabilidade pode ser explorada por malware para desativar o Cortex XDR Agent e, subsequentemente, executar atividades maliciosas. As versões afetadas são 7.9-CE até 8.4.0, sendo que a correção está disponível na versão 8.2.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com privilégios mínimos no sistema Windows, desative o Cortex XDR Agent. Isso remove a capacidade de monitoramento e detecção de ameaças, abrindo caminho para a instalação e execução de malware sem detecção. O impacto é significativo, pois o agente é uma ferramenta crucial para a detecção e resposta a incidentes de segurança. Um atacante poderia, por exemplo, instalar ransomware, exfiltrar dados confidenciais ou estabelecer uma persistência no sistema sem ser detectado pelo sistema de segurança. A ausência de monitoramento contínuo compromete a postura de segurança geral da organização.
A vulnerabilidade foi divulgada em 12 de junho de 2024. Não há informações disponíveis sobre a adição à KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente disponível, mas a natureza da vulnerabilidade (desativação de um agente de segurança) a torna um alvo atraente para atacantes.
Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.
• windows / supply-chain:
Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.
disclosure
Status do Exploit
EPSS
0.86% (percentil 75%)
CISA SSVC
A mitigação primária é a atualização para a versão 8.2.1 ou superior do Cortex XDR Agent. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere as seguintes medidas paliativas. Restrinja os privilégios dos usuários locais Windows para minimizar a superfície de ataque. Implemente regras de firewall para limitar a comunicação de rede do agente, dificultando a desativação remota. Monitore os logs de eventos do Windows em busca de tentativas de desativação do agente, utilizando filtros específicos para identificar atividades suspeitas. Após a atualização, confirme a integridade do agente verificando a versão instalada e a presença de processos relacionados à segurança.
Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5909 is a vulnerability in the Palo Alto Networks Cortex XDR agent for Windows that allows a low-privileged user to disable the agent's protection, potentially enabling malware to operate undetected.
You are affected if you are running Cortex XDR Agent versions 7.9-CE through 8.4.0 on Windows devices.
Upgrade the Cortex XDR agent to version 8.2.1 or later to resolve this vulnerability. Palo Alto Networks provides the patch.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests a potential for future exploitation. Monitor threat intelligence feeds.
Refer to the Palo Alto Networks Security Advisories page for the official advisory regarding CVE-2024-5909: [https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632](https://knowledge.paloaltonetworks.com/kbase/kbv/detail/173632)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.