A falha estava na solução Expedition, uma ferramenta de migração que ajuda a mover configurações de outras plataformas de firewall.

Escaladas, as falhas encontradas podiam expor informação sensível como credenciais e comprometimento de contas de administrador.

CVE-2024-9463

Falha de injeção de código, que permitia executar comandos como root

CVE-2024-9464

Falha de injeção de código autenticada, similar à anterior

CVE-2024-9465

Falha de sql injection que permitia utilizadores não autenticados aceder a conteúdo da base de dados incluindo hashes e ficheiros de configuração do dispositivo

CVE-2024-9466

Acesso de utilizadores autenticados a informação sensível, revelando usernames, passwords e chaves API em cleartext

CVE-2024-9467

Falha de reflected XSS que permitia executar javascript no browser de um utilizador autenticado, conseguindo levar a cabo ataques de phishing

Soluções afetadas

Anteriores a 1.2.96

Workarounds

Restringir acesso à rede a utilizadores ou hosts autorizados

Correr o comando "mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;" e caso retorne alguma informação é sinal que o dispositivo foi comprometido

Advisory oficial: https://security.paloaltonetworks.com/PAN-SA-2024-0010