CVE-2024-5921

Palo Alto Networks 发布安全公告,警告其 GlobalProtect 应用程序中存在一个漏洞,攻击者可利用该漏洞在端点上安装恶意软件。

该漏洞被识别为 CVE-2024-5921,是一个认证验证不充分的问题,攻击者可以将 GlobalProtect 应用程序连接到任意服务器。这样,攻击者就可以在端点上安装恶意根证书,然后利用这些证书安装由这些证书签名的恶意软件。

公告称:“Palo Alto Networks GlobalProtect 应用程序中存在认证验证不充分的问题,攻击者可以将 GlobalProtect 应用程序连接到任意服务器。”

该漏洞影响 Windows 上所有版本的 GlobalProtect 应用程序 6.3、6.1、6.0、5.1 和 GlobalProtect UWP 应用程序。该漏洞还影响 MacOS 和 Linux 上所有版本的 GlobalProtect 应用程序 6.2,以及 Windows 上 6.2.6 之前版本的 GlobalProtect 应用程序 6.2。

Palo Alto Networks 表示,目前尚未发现任何恶意利用该漏洞的行为。不过,该公司知道有一个公开的会议讨论了这个问题。

该漏洞已在 Windows 上的 GlobalProtect 应用程序 6.2.6 和所有后续 GlobalProtect 应用程序 6.2 版本中得到修复。要在其他版本的应用程序中缓解该问题,Palo Alto Networks 建议在 FIPS-CC 模式下使用 GlobalProtect 应用程序。此外,Palo Alto Networks 还提供特定的安装参数,以执行严格的证书验证:

安装 GlobalProtect 时,将预部署密钥 FULLCHAINCERTVERIFY 设置为 “是”:

msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY=”yes”

要指定证书存储区以及证书存储区中用于加载证书以进行证书验证的位置,请使用以下参数安装 GlobalProtect:

msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY=“yes” CERTSTORE=“machine” CERTLOCATION=”ROOT”

CERTSTORE 的有效选项为 “机器”(推荐)和 “用户”。

CERTLOCATION 的有效选项是 “ROOT”(推荐)、“MY”、“trusted publisher”、“ca”、“truest”、“authroot”、“smartcardroot ”和 “userds”。

如果未指定 CERTSTORE 或 CERTLOCATION,GlobalProtect 应用程序将默认从机器存储的根目录加载证书。

这个漏洞是一个严重的安全风险,因为它可能让攻击者完全控制端点。使用 GlobalProtect 应用程序的组织应立即采取措施降低风险。这包括安装最新版本的应用程序或启用 FIPS-CC 模式。

文章原文链接:https://www.anquanke.com/post/id/302201