CVE-2019-1573 是 GlobalProtect Agent 中的信息泄露漏洞。攻击者通过访问受损用户帐户的内存,可能获取身份验证和会话令牌,从而冒充 VPN 会话并以用户身份访问系统。此漏洞影响 GlobalProtect Agent 4.1.0 (Windows) 和 4.1.10 之前的版本。已发布补丁,建议升级至 4.1* 版本。
此漏洞允许本地经过身份验证的攻击者,如果他们已经攻破了终端用户帐户并获得了检查内存的能力,则访问身份验证和/或会话令牌。攻击者可以利用这些令牌来重放 VPN 会话,从而冒充受影响用户并获得未经授权的访问权限。攻击者可以访问用户的数据、资源和应用程序,并可能进行进一步的横向移动。由于该漏洞需要本地访问和内存检查能力,因此其影响范围相对有限,但仍然可能导致敏感信息的泄露和未经授权的访问。
该漏洞已公开披露,但目前没有已知的公开利用程序。CISA 尚未将其添加到 KEV 目录。由于需要本地访问和内存检查能力,因此利用该漏洞的可能性相对较低。建议持续监控安全公告和威胁情报,以了解任何新的利用信息。
Organizations utilizing Palo Alto Networks GlobalProtect Agent for remote access, particularly those with legacy systems or configurations lacking robust access controls, are at risk. Users with elevated privileges or access to sensitive data are especially vulnerable.
• windows / supply-chain:
Get-Process -Name GlobalProtectAgent | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName GlobalProtectAgent" | Select-String -Pattern "authentication token"• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect Agent or its components.
disclosure
漏洞利用状态
EPSS
0.23% (46% 百分位)
CVSS 向量
最有效的缓解措施是升级 GlobalProtect Agent 至 4.1* 或更高版本。如果无法立即升级,可以考虑实施额外的安全控制措施,例如加强帐户安全策略、限制用户权限以及监控 VPN 会话活动。此外,实施内存保护技术,例如地址空间布局随机化 (ASLR) 和数据执行保护 (DEP),可以降低攻击者利用此漏洞的风险。升级后,请验证 GlobalProtect Agent 版本是否已成功更新,并检查系统日志中是否有任何异常活动。
将 GlobalProtect Agent 更新到 4.1.11 或更高版本。此更新修复了允许本地已认证的攻击者访问认证和/或会话令牌的漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-1573 是 GlobalProtect Agent 中的一个信息泄露漏洞,攻击者可以利用内存漏洞访问身份验证和会话令牌,冒充 VPN 会话。
如果您正在使用 GlobalProtect Agent 4.1–4.1* 版本,则可能受到此漏洞的影响。请尽快升级至 4.1* 或更高版本。
升级 GlobalProtect Agent 至 4.1* 或更高版本。如果无法立即升级,请实施额外的安全控制措施。
目前没有已知的公开利用程序,但建议持续监控安全公告和威胁情报。
请访问 Palo Alto Networks 安全公告页面,搜索 CVE-2019-1573 以获取更多信息。