Palo Alto Networks 近期发布了多项安全漏洞修复，涵盖了其产品线中的多个组件，包括 Expedition 工具、Panorama、XDR Cortex 代理和 PAN-OS。这些漏洞可能会导致攻击者获得对系统管理员帐户的控制权、上传任意文件、绕过文件签名检查，甚至提升权限。Palo Alto Networks 建议用户尽快更新到最新版本，以确保系统安全。

💥 **Expedition 工具漏洞：** 存在身份验证问题，攻击者可能获得管理员帐户控制权，访问系统导入的机密信息、凭据和数据。该漏洞影响 1.2.92 之前的版本，已在最新版本中修复。 该漏洞的严重性评分为 9.3，攻击者可以通过利用此漏洞获得对系统管理员帐户的控制权，从而访问系统导入的机密信息、凭据和数据。这将对系统安全构成严重威胁，因此建议用户尽快更新到最新版本。

💻 **Panorama 漏洞：** 允许攻击者上传任意文件，导致 Panorama 组件拒绝服务。该漏洞影响 10.1.9、10.2.4 之前的版本，已在最新版本中修复。 攻击者可以通过利用此漏洞上传任意文件，导致 Panorama 组件拒绝服务，影响系统正常运行。该漏洞的严重性评分为 7.0，虽然不会直接导致数据泄露，但会影响系统可用性，因此建议用户尽快更新到最新版本。

🛡️ **XDR Cortex 代理漏洞：** 攻击者可绕过文件签名检查，执行未经授权的文件类型。该漏洞影响 8.2.2 和 7.9.102-CE 之前的版本，已在最新版本中修复。 攻击者可以通过利用此漏洞绕过文件签名检查，执行未经授权的文件类型，从而对系统安全构成威胁。该漏洞的严重性评分为 6.8，建议用户尽快更新到最新版本。

🔑 **BlastRADIUS 漏洞：** 允许攻击者通过中间人攻击，获取超级用户权限。该漏洞影响使用 CHAP 或 PAP 协议配置的服务器，已在最新版本中修复。 攻击者可以通过利用此漏洞实施中间人攻击，获取超级用户权限，从而对系统安全构成重大威胁。该漏洞的严重性评分较高，建议用户尽快更新到最新版本，并考虑使用更安全的协议配置服务器。

⚠️ **物理访问漏洞：** 允许攻击者提升权限。该漏洞影响 11.2.1、11.1.4、11.0.5、10.2.10 和 10.1.14-h2 之前的 PAN-OS 版本，已在最新版本中修复。 攻击者可以通过物理访问系统，利用此漏洞提升权限，从而对系统安全构成威胁。该漏洞的严重性评分为 5.4，建议用户尽快更新到最新版本，并加强物理安全措施。

💡 **其他漏洞：** Palo Alto Networks 还修复了其他一些安全漏洞，建议用户查看其官方网站获取更多信息。

🧠 **重要提示：** 即使已修复漏洞，用户也应定期更新系统，并采取其他安全措施，以保护系统安全。

🚀 **建议：** 用户应尽快更新到最新版本，并参考 Palo Alto Networks 的官方安全建议，以确保系统安全。

检测到的第一个也是最严重的问题会影响 Expedition 工具，该工具有助于将配置从其他提供商迁移到 Palo Alto PAN-OS 平台。如果组件的关键功能中缺少身份验证，攻击者将允许攻击者获得对管理员帐户的控制权，并访问系统导入的机密、凭据和其他数据。CVE-2024–5910 和 CVSS 量表的严重性评分为 9.3。该错误会影响 1.2.92 之前的版本，并在其中进行了修复。CVE-2024–5911 标记了一个 bug，该漏洞允许具有读/写管理员权限的攻击者将任意文件上传到系统，从而导致 Panorama 组件拒绝服务，该组件以分层方式管理一组防火墙。在这种情况下，关键性评估为 7.0 分。反复利用此漏洞可能导致工具进入维护模式，需要手动干预才能将其恢复到正常操作模式。该错误已在 PAN-OS 版本 10.1.9、10.2.4 及更高版本中修复。CVE-2024–5912 的 CVSS 等级严重程度为 6.8 分，会影响 8.2.2 和 7.9.102-CE 之前版本中的 XDR Cortex 代理。该错误是由错误的文件签名检查引起的，允许攻击者逃避未经授权的文件类型的执行块。利用 CVE-2024–5913 需要对文件系统进行物理访问，这将允许攻击者在 11.2.1、11.1.4、11.0.5、10.2.10 和 10.1.14-h2 之前的 PAN-OS 版本中提升权限。该漏洞在 CVSS 量表上的严重程度为 5.4 分。更臭名昭著的是 CVE-2024–3596，它被称为 BlastRADIUS。PAN-OS 中的此漏洞允许 Palo Alto 防火墙和 RADIUS 服务器之间进行中间干预者攻击，该服务器管理网络和 IT 资源访问中的身份验证、授权和可审计性。利用此漏洞，需要使用 CHAP 或 PAP 协议配置服务器，攻击者能够逃避身份验证过程并将权限提升为超级用户。失败是由于缺乏对这些协议对传输层安全性 （TLS） 的支持所致。不建议使用 CHAP 或 PAP，除非它们封装在加密连接中使用。Palo Alto Networks 表示，在发布时，这些漏洞均未在攻击中检测到。