Palo Alto Networks Cortex XDR Agent本地提權漏洞(CVE-2021-3041)

2022-01-02 維他命安全

收錄於話題 #漏洞預警 98個

0x00 漏洞概述

CVE  ID

CVE-2021-3041

時    間

2021-06-10

類   型

LPE

等    級

高危

遠程利用

影響範圍


攻擊複雜度

可用性

用戶交互

所需權限

PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

Palo Alto Networks Cortex XDR Agent是Palo Alto Networks公司的一個用於檢測客戶端設備安全性的客戶端軟體。

2021年06月09日,Palo Alto Networks發布安全公告,公開了Windows 平臺上Cortex XDR Agent中的一個本地權限提升漏洞(CVE-2021-3041),經過認證的本地攻擊者能夠利用此漏洞以SYSTEM權限執行程序,但利用此漏洞需要擁有在Windows根目錄下創建文件或操作註冊表的權限。

 

影響範圍

Cortex XDR Agent < 5.0.11

Cortex XDR Agent < 6.1.8

Cortex XDR Agent < 7.2.3 或 沒有內容更新到171或更高版本的

 

 

0x02 處置建議

目前此漏洞已經修復,建議及時升級更新之以下版本:

Cortex XDR Agent >= 7.2.3 或 內容更新到171 或更高版本

Cortex XDR Agent >= 6.1.8

Cortex XDR Agent >= 5.0.11

 

下載連結:

https://support.paloaltonetworks.com/support

緩解措施:

阻止本地經過身份驗證的 Windows 用戶在 Windows 根目錄(如 C:\)中創建文件並禁止其操作 Windows 註冊表。

 

 

0x03 參考連結

https://security.paloaltonetworks.com/CVE-2021-3041

https://nvd.nist.gov/vuln/detail/CVE-2021-3041

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3041

 

0x04 時間線

2021-06-09  Palo Alto Networks發布安全公告

2021-06-10  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

 

相關焦點

  • Acronis | 多個本地提權漏洞通告
    Acronis產品由 Acronis AnyData Engine 提供技術支持,為本地、遠程、雲和移動中的數據提供簡單、全面、安全的解決方案。2020年10月,Acronis公布Acronis True Image、Cyber Backup和Cyber Protection中存在多個本地提權漏洞,並發布了安全更新。
  • paloalto:網絡威脅趨勢
    圖1. 2020年8月至10月攻擊嚴重程度分布paloalto的研究人員僅將嚴重性等級高於中等(基於CVSS v3分數)的可利用漏洞作為經過驗證的攻擊。表1顯示了不同漏洞級別攻擊的會話數及攻擊次數所佔比例。
  • 【漏洞通告】Linux Kernel 本地權限提升漏洞(CVE-2021-33909)
    0x00 漏洞概述CVE     IDCVE-2021-33909時
  • 【漏洞通告】 Windows內核本地提權漏洞 CVE-2021-31979
    漏洞名稱 : Windows 內核本地提權漏洞組件名稱 :Ntoskrnl.exe影響範圍 : Windows 10 Version 1607/1809/1909/2004/20H2/21H1Windows Server, version
  • Fidelis,Mimecast,Palo Alto Networks,Qualys也受到SolarWinds黑客的影響
    Mimecast是上述公司中第一個披露重大安全漏洞的安全提供商,它透露威脅者破壞了其內部網絡,並利用其產品之一使用的數字證書來訪問其某些客戶的Microsoft 365帳戶。confirmed)HQ.FIDELIS (confirmed)jpso.govlagnr.chevrontexaco.netlogitech.locallos.localmgt.srb.europa* (confirmed)ng.ds.army.milnsanet.localpaloaltonetworks
  • Microsoft Windows本地提權漏洞(CVE-2021-1732)通告
    漏洞名稱Microsoft Windows本地提權漏洞(CVE-2021-1732)威脅類型本地權限提升威脅等級高漏洞IDCVE-2021-1732利用場景本地普通用戶通過執行漏洞利用程序獲取system權限。
  • Palo Alto Networks VM-Series正式登陸AWS China Marketplace
    Contact_SalesChina@paloaltonetworks.com
  • Forescout披露影響上億臺設備的DNS漏洞NAME:WRECK;微軟發布4月補丁,修復5個0day在內的108個漏洞
    https://thehackernews.com/2021/04/rce-exploit-released-for-unpatched.htmlMicrosoft發布4月補丁,修復5個0day在內的108個漏洞Microsoft發布了4月份的周二補丁,總計修復了包含5個0day在內的108個漏洞。
  • 專訪Palo Alto Networks大中華區技術總監耿強:解析下一代防火牆Wild Fire
    ③ 新一代端點安全管控支持Palo Alto Networks點擊右上角即刻分享至朋友圈如需了解Palo Alto Networks更多信息,可以訪問官網www.paloaltonetworks.cn
  • AWS Marketplace官方網站落地中國,幫助客戶更輕鬆的查找、部署Palo Alto Networks軟體產品
    Panorama集中管理平臺(單獨購買)允許VM系列與我們的防火牆設備一起集中管理,以維護與本地環境一致的安全策略。Palo Alto Networks(派拓網絡)大中華區總裁陳文俊表示:「AWS Marketplace使我們能夠更加方便地接觸中國新客戶。作為網絡安全領域的全球領導企業,我們期望更多的中國客戶能夠受益於我們的技術。
  • WordPress文件管理器RCE漏洞在野利用的捕獲(CVE-2020-25213)
    2020年12月,Unit 42的研究人員捕獲到對CVE-2020-25213的利用嘗試,CVE-2020-25213是WordPress File Manager插件中的文件上傳漏洞成功利用此漏洞,攻擊者可以上傳具有任意名稱和擴展名的任意文件,從而在目標Web伺服器上導致遠程執行代碼(RCE)。攻擊者使用此漏洞來部署webshell,這些webshell又用於部署Kinsing惡意軟體,該惡意軟體會運行來自H2miner家族的惡意cryptominer。基於Golang語言,用於對容器環境的加密劫持攻擊。
  • CVE-2018-1111復現環境搭建與dhcp命令注入
    最開始在Github上找到一個Docker的復現環境,嘗試了各個docker鏡像都發現漏洞已被patched掉了,無奈只能在VM上安裝CentOS虛擬機。https://github.com/knqyf263/CVE-2018-1111關於漏洞成因,該文章已經分析的很清楚了,這裡不再贅述。
  • 漏洞預警|Linux內核本地提權漏洞分析(CVE-2019-13272)
    監測發現Linux修復了一個本地內核提權漏洞,利用此漏洞,攻擊者可將普通用戶權限提升為Root權限。HSCERT研判此漏洞為嚴重漏洞,攻擊者拿到本地權限可以直接提權至root。Warning: Could not find active PolKit agent\n");    return 1;  }  if (stat("/usr/sbin/getsebool", &st) == 0) {    if (system("/usr/sbin/getsebool deny_ptrace 2>1 | /bin/grep -q on
  • 【漏洞預警】CVE-2021-33909 Linux內核權限提升漏洞
    描述近日,可信安全團隊監測到 Linux 內核文件系統層中存在本地提權的漏洞 (CVE
  • CVE-2021-42287 域內提權漏洞復現
    票據且域內有一臺名為DC$域控,再將DC用戶刪除,此時使用該 TGT去請求s4u2self,如果域控制器帳戶DC$存在,那麼DC就能獲得域控制器帳戶(機器用戶DC$)的ST票證。假如域內有一臺域控名為 DC(域控對應的機器用戶為 DC$),此時攻擊者利用漏洞 CVE-2021-42287 創建一個機器用戶test$,再把機器用戶test$的SAMAccountName改成DC。然後利用DC去申請一個TGT票據。再把DC的SAMAccountName改為test$。
  • 今日威脅情報2021/2/20-21(第350期)
    1、Turla新的惡意軟體加載工具-IronNetInjectorPDB信息:C:\Users\Devel\source\repos\c4\agent\build_tools\agent_dll_to_Python_loader\NetInjector\NetInjector\obj\Release\NetInjector.pdb