CVE-2025-0107 ist eine kritische Schwachstelle im Migrations-Tool Expedition von Palo Alto Networks (Version 1.2.101 und früher). Das Tool, das häufig zur Unterstützung von Migrationen auf die NGFW-Plattform von Palo Alto Networks eingesetzt wurde, hat am 31. Dezember 2024 das Ende seines Lebenszyklus (End-of-Life, EoL) erreicht. Obwohl es für den temporären Einsatz konzipiert war, verlassen sich viele Unternehmen weiterhin auf Expedition in Produktionsumgebungen, was das Risiko einer Ausnutzung erhöht.
Die Schwachstelle erregte nach der öffentlichen Bekanntgabe technischer Details und eines Proof-of-Concept (PoC)-Exploits durch einen Sicherheitsforscher in Zusammenarbeit mit SSD Secure Disclosure erhebliche Aufmerksamkeit. Diese Offenlegung schärft zwar das öffentliche Bewusstsein, erhöht jedoch gleichzeitig das Risiko einer aktiven Ausnutzung durch böswillige Akteure.
| Produkt | Expedition Project |
| Datum | 21.01.2025 09:35:16 |
| Informationen |
|
Technische Zusammenfassung
CVE-2025-0107 ist eine Schwachstelle zur Remote-Code-Ausführung, die durch eine unzureichende Validierung im Endpunkt /API/regionsDiscovery.php verursacht wird. Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, die Expedition-Anwendung so zu manipulieren, dass sie eine Verbindung zu einem vom Angreifer kontrollierten Apache-Spark-Server herstellt. Der bösartige Server kann als Antwort ein speziell präpariertes Java-Paket bereitstellen, das vom anfälligen Expedition-Server ohne angemessene Überprüfung ausgeführt wird.
Bei einer Ausnutzung ermöglicht diese Schwachstelle dem Angreifer die Ausführung von beliebigem Code auf dem Expedition-Server. Das Problem resultiert aus unzureichenden Sicherheitsmaßnahmen bei der Handhabung externer Verbindungen und der Verarbeitung von Java-Paketen. Die Verfügbarkeit eines PoC-Exploit-Codes erhöht die Wahrscheinlichkeit einer Ausnutzung erheblich.
Empfehlungen
- Expedition deaktivieren: Beschleunigen Sie die Entfernung von Expedition aus allen Umgebungen, da das Tool das EoL erreicht hat und keine Sicherheitsupdates mehr erhält.
- Zugriff einschränken: Isolieren Sie sofort alle noch vorhandenen Expedition-Systeme, indem Sie den Netzwerkzugriff einschränken und die externe Kommunikation blockieren.
- Auf unterstützte Tools umsteigen: Verwenden Sie unterstützte Migrationstools oder von Palo Alto Networks empfohlene Alternativen.
- Richtlinienaktualisierung: Implementieren Sie eine klare Richtlinie zur Außerbetriebnahme von EoL-Software, um die fortgesetzte Nutzung nicht unterstützter Tools in Produktionsumgebungen zu verhindern.
[Callforaction-THREAT-Footer]
Leave a Reply