MEDIUMCVE-2024-5909

Cortex XDR Agent: 本地 Windows 用户可以禁用代理

平台

windows

组件

cortex-xdr-agent

修复版本

8.4.1

8.3.1

8.2.1

8.1.2

7.9.102-CE

AI Confidence: highNVDEPSS 0.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-5909描述了Palo Alto Networks Cortex XDR Agent在Windows设备上的一个问题。该问题源于保护机制的缺陷，允许低权限的本地Windows用户禁用该代理。恶意软件可能利用此漏洞禁用Cortex XDR Agent，从而执行恶意活动。受影响的版本包括7.9-CE–8.4.0，建议尽快升级至8.2.1版本以修复此漏洞。

影响与攻击场景

攻击者可以利用此漏洞在受影响的Windows设备上获得更高的权限，绕过Cortex XDR的监控和检测机制。恶意软件可以利用此漏洞禁用Cortex XDR Agent，从而在系统中自由运行，窃取敏感数据、破坏系统文件或进行其他恶意活动。由于Cortex XDR Agent主要用于威胁检测和响应，其禁用会显著降低安全防御能力，增加组织遭受攻击的风险。此漏洞的潜在影响范围取决于受影响设备上存储的数据敏感程度以及攻击者能够利用该漏洞执行的恶意活动类型。

利用背景

目前尚未公开发现利用CVE-2024-5909漏洞的公开PoC。该漏洞已添加到CISA KEV目录中，表明其具有中等概率被利用。由于该漏洞允许本地用户禁用安全代理，因此可能成为攻击者绕过安全控制的手段。建议密切关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Organizations heavily reliant on the Cortex XDR agent for endpoint detection and response are at significant risk. Environments with a large number of low-privileged users, or those with weak user privilege management controls, are particularly vulnerable. Shared hosting environments where multiple users have access to the same endpoint are also at increased risk.

检测步骤翻译中…

• windows / supply-chain:

Get-Process -Name "CortexXdrAgent" | Select-Object -ExpandProperty CPU

• windows / supply-chain:

Get-Service -Name "CortexXdrAgentService" | Select-Object -ExpandProperty Status

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Cortex XDR Agent']]]" -MaxEvents 10

• windows / supply-chain: Check Autoruns for suspicious entries related to the Cortex XDR agent.

攻击时间线

2024-06-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.86% (75% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件cortex-xdr-agent

供应商Palo Alto Networks

影响范围修复版本

8.4.0 – 8.4.08.4.1

8.3.0 – 8.3.08.3.1

8.2.0 – 8.2.08.2.1

8.1.0 – 8.1.18.1.2

7.9-CE – 7.9-CE7.9.102-CE

弱点分类 (CWE)

CWE-269

时间线

已保留2024-06-12
发布日期2024-06-12
修改日期2024-08-01
EPSS 更新日期2026-04-02

缓解措施和替代方案

为了缓解CVE-2024-5909的影响，建议立即将Cortex XDR Agent升级至8.2.1或更高版本。如果无法立即升级，可以考虑实施以下临时缓解措施：限制本地Windows用户的权限，减少其禁用代理的能力；监控系统日志，检测任何未经授权的代理禁用行为；使用Windows Defender或其他安全软件来检测和阻止恶意软件的活动。升级后，请验证Cortex XDR Agent是否正常运行，并确认所有保护功能已启用。

修复方法翻译中…

Actualice el agente Cortex XDR a la última versión disponible. Esto solucionará la vulnerabilidad que permite a usuarios locales con pocos privilegios deshabilitar el agente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2024-5909 — 本地权限提升漏洞在Cortex XDR Agent中？

CVE-2024-5909是Palo Alto Networks Cortex XDR Agent (Windows)中的一个漏洞，允许低权限本地Windows用户禁用代理，可能被恶意软件利用。

我是否受到CVE-2024-5909在Cortex XDR Agent中影响？

如果您的Cortex XDR Agent版本为7.9-CE–8.4.0，则可能受到影响。请立即检查您的版本并升级。

我如何修复CVE-2024-5909在Cortex XDR Agent中？

将Cortex XDR Agent升级至8.2.1或更高版本。如果无法升级，请参考缓解措施，例如限制用户权限和监控系统日志。

CVE-2024-5909是否正在被积极利用？

目前尚未公开发现利用CVE-2024-5909漏洞的公开PoC，但已添加到CISA KEV目录，表明存在一定风险。

在哪里可以找到Palo Alto Networks官方关于CVE-2024-5909的公告？

请访问Palo Alto Networks的安全公告页面，搜索CVE-2024-5909以获取官方信息：https://knowledge.paloaltonetworks.com/

Cortex XDR Agent: 本地 Windows 用户可以禁用代理

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

什么是CVE-2024-5909 — 本地权限提升漏洞在Cortex XDR Agent中？

我是否受到CVE-2024-5909在Cortex XDR Agent中影响？

我如何修复CVE-2024-5909在Cortex XDR Agent中？

CVE-2024-5909是否正在被积极利用？

在哪里可以找到Palo Alto Networks官方关于CVE-2024-5909的公告？

你的项目受影响吗?