Palo Alto Networks的Expedition工具中存在一个严重安全漏洞，正被黑客积极利用。CISA敦促修补 – 了解如何通过立即修补Expedition软件来保护您的网络和敏感数据。

如果您最近使用其Expedition工具将网络配置迁移到Palo Alto Networks，则需要迅速采取行动，因为该工具中的一个严重安全漏洞(CVE-2024-5910)正在被威胁行为者积极利用。这意味着如果您尚未修补Expedition软件，黑客可以接管管理员帐户、访问敏感配置数据，甚至控制您的防火墙。

Expedition是一款方便的工具，可帮助用户无缝地将他们的网络配置从Cisco或Checkpoint等其他供应商切换到他们自己的产品。它自动执行许多步骤，使企业的过渡更加顺畅。该工具将于2025年1月停用 。

据报道，Palo Alto Networks已收到美国网络安全和基础设施安全局(CISA)的通知，称其Expedition工具1.2.92之前的版本中存在安全漏洞。Palo Alto已于7月发布了针对此漏洞的补丁，但攻击者已开始利用该漏洞。

CISA在其咨询报告中解释道：“Palo Alto Expedition包含一个缺少身份验证的漏洞，该漏洞允许具有网络访问权限的攻击者接管Expedition管理员帐户并可能访问配置机密、凭据和其他数据。”

该通报警告称，由于该工具可能触发威胁行为者接管管理帐户，因此配置机密、凭据和其他移入Expedition的数据将面临风险。此漏洞被评为“严重”，CVSS评分为9.3（满分10分），表示关键功能(CWE-306)缺少身份验证。这意味着攻击者很容易利用该漏洞，并可能造成严重后果。

10月份，安全研究员Zach Hanley发布了一个概念验证(PoC)漏洞，漏洞利用尝试可能有所增加。该漏洞演示了如何结合CVE-2024-5910和另一个漏洞(CVE-2024-9464)在易受攻击的Expedition服务器上执行未经身份验证的远程代码，从而使攻击者能够重置管理员帐户并控制防火墙配置。

CISA已将此漏洞添加到其“已知被利用的漏洞”目录中，敦促联邦机构在11月28日之前解决该漏洞。

为了保护自己，请将软件更新至最新版本（1.2.92或更高版本）。更新后，更改Expedition和通过Expedition处理的防火墙的用户名、密码和API密钥。此外，请注册Palo Alto Networks或其他信誉良好的来源的安全警报，以随时了解最新威胁和漏洞。

值得注意的是，威胁情报公司Volexity于4月发现了影响Palo Alto Networks防火墙设备的零日漏洞，随后发布了此通告。研究人员称，该漏洞的最高CVSS评分为10，可能被国家黑客利用。

Bambenek Consulting总裁John Bambenek就此情况发表了看法，他表示：“此漏洞可让攻击者在未经身份验证的情况下控制这些设备，而这些设备正是你出于战术目的设置的那种工具。一旦完成攻击，你就可以忘掉它。如果出于某种原因你无法关闭它，请将这些设备从开放的互联网上移除。”