1. 漏洞概述

2024 年 11 月 19 日，安全运营中心监测到 Palo Alto Networks Expedition多个漏洞导致命令注入漏洞，漏洞编号：CVE-2024-9463、CVE-2024-9464、CVE-2024-9465、CVE-2024-9466、CVE-2024-9467，漏洞威胁等级：高危。

2. 漏洞详情

Palo Alto Networks Expedition 是 Palo Alto Networks 提供的一款迁移工具，旨在帮助网络安全团队进行防火墙规则的迁移、优化和管理。它主要用于简化从旧防火墙设备（如思科、Check Point、Fortinet 等）迁移到 Palo Alto Networks 防火墙的过程，并且可以帮助用户在迁移过程中清理和优化防火墙规则。安全运营中心监测到攻击者正在积极利用 Palo Alto Networks Expedition迁移工具中的命令注入漏洞（CVE-2024-9463）和 SQL 注入漏洞（CVE-2024-9465），详情如下：

CVE-2024-9463：Palo Alto Networks Expedition 命令注入漏洞Palo Alto Networks Expedition 受影响版本中 convertCSVtoParquet 接口存在命令注入漏洞，其 CVSS 评分为 9.9，成功利用该漏洞可能导致未经身份验证的攻击者在 Expedition 中以 root 身份运行任意系统命令，从而导致 PAN-OS 防火墙的用户名、明文码、设备配置和设备 API 密钥泄露。目前该漏洞的 PoC 已公开，且已发现被利用。CVE-2024-9465：Palo Alto Networks Expedition SQL 注入漏洞Palo Alto Networks Expedition 受影响版本中存在 SQL 注入漏洞，其 CVSS 评分为 9.2，成功利用该漏洞可能导致未经身份验证的攻击者获取 Expedition数据库内容，例如密码哈希、用户名、设备配置和设备 API 密钥等，并可在 Expedition 系统上创建和读取任意文件。目前该漏洞的技术细节及 PoC 已公开披露，且已发现被利用。

此外，Palo Alto Networks Expedition 中还存在另一个命令注入漏洞（CVE-2024-9464，CVSS 评分 9.3），经过身份验证的攻击者可利用该漏洞在 Expedition 中以 root 身份运行任意系统命令；以及 Palo Alto Networks Expedition 明文存储敏感信息漏洞（CVE-2024-9466，CVSS 评分 8.2），允许经过身份验证的攻击者获取使用这些凭据生成的防火墙用户名、密码和 API 密钥；和 Palo Alto Networks Expedition 跨站脚本漏洞（CVE-2024-9467，CVSS 评分 7.0），攻击者可以诱导已认证的 Expedition 用户点击恶意链接，从而触发反射型 XSS 漏洞，导致恶意 JavaScript 在用户的浏览器上下文中执行，这可能引发钓鱼攻击，进而导致

Expedition 浏览器会话被盗。

3. 影响版本

Palo Alto Networks Expedition < 1.2.96

4. 处置建议

1. 目前这些漏洞已经修复，受影响用户可升级到以下版本：

Palo Alto Networks Expedition >= 1.2.96

下载链接：

https://live.paloaltonetworks.com/t5/expedition/ct-p/migration_tool

2. 临时措施

确保对 Expedition 的网络访问仅限于授权用户、主机或网络。如果未主动使用 Expedition，请确保 Expedition 软件已关闭。

参考链接

https://security.paloaltonetworks.com/PAN-SA-2024-0010

https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-f

ull-compromise

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651

联系人：安宇彬

邮箱：anyb@cernet.com

电话：18698430210