平台
windows
组件
cortex-xdr-agent
修复版本
7.9.102-CE
8.1.1
8.2.3
8.3.1
CVE-2024-5907 是 Palo Alto Networks Cortex XDR Agent 中发现的权限提升漏洞。该漏洞允许本地用户在 Windows 设备上以提升的权限执行程序。受影响的版本包括 Cortex XDR Agent 8.4.0 及更早版本。Palo Alto Networks 已经发布了安全更新,建议用户尽快升级。
该漏洞的潜在影响是显著的。成功利用此漏洞的攻击者可以获得系统管理员级别的权限,从而完全控制受影响的系统。攻击者可以安装恶意软件、窃取敏感数据、修改系统配置,甚至进行横向移动以攻击网络中的其他系统。由于需要成功利用竞争条件,因此该漏洞的实际利用难度较高,但一旦成功,其影响范围将非常广泛,可能导致数据泄露、服务中断和声誉损害。类似竞争条件漏洞的利用可能导致系统被完全控制。
目前,该漏洞尚未被广泛利用。CISA 尚未将其添加到 KEV 目录。公开可用的 PoC 尚未发现。该漏洞的 EPSS 得分为低,表明其被利用的可能性较低,但仍应予以重视。该漏洞于 2024 年 6 月 12 日公开披露。
Organizations deploying Palo Alto Networks Cortex XDR agent on Windows systems, particularly those with less stringent local account privilege controls, are at risk. Environments with a high number of local administrator accounts or those lacking robust monitoring of process execution are especially vulnerable.
• windows / supply-chain:
Get-Process -Name CortexXdrAgent | Select-Object -ExpandProperty CPU• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName PaloAltoNetworks.CortexXDRAgent" | Select-String -Pattern "error"• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CortexXdrAgent*'} | Format-List TaskName, Statedisclosure
漏洞利用状态
EPSS
0.08% (25% 百分位)
CISA SSVC
Palo Alto Networks 建议用户尽快升级到已修复的版本。如果无法立即升级,可以考虑以下缓解措施:限制本地用户权限,实施严格的访问控制策略,并监控系统日志以检测可疑活动。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意流量。由于竞争条件的存在,针对此漏洞的特定检测签名可能难以创建,但应持续监控系统性能和资源使用情况,以检测异常行为。升级后,请验证新版本是否已成功安装并修复了漏洞。
Actualice el agente Cortex XDR a la última versión disponible. Específicamente, asegúrese de que la versión sea 7.9.102-CE o superior, 8.2.3 o superior, o 8.3.1 o superior. Esto mitigará la vulnerabilidad de escalada de privilegios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-5907 是 Palo Alto Networks Cortex XDR Agent (Windows) 中的一个权限提升漏洞,允许本地用户以提升的权限执行程序。
如果您正在使用 Palo Alto Networks Cortex XDR Agent 的版本 ≤8.4.0,则可能受到影响。
建议升级到 Palo Alto Networks 发布的已修复版本。
目前尚未观察到该漏洞被广泛利用,但仍应予以重视。
请访问 Palo Alto Networks 的安全公告页面以获取更多信息:https://knowledge.paloaltonetworks.com/