漏洞描述:
Palo Alto Networks Expedition是Palo Alto Networks提供的一款迁移工具,旨在帮助网络安全团队进行防火墙规则的迁移、优化和管理,它主要用于简化从旧防火墙设备（如思科、Check Point、Fortinet等）迁移到Palo Alto Networks防火墙的过程,并且可以帮助用户在迁移过程中清理和优化防火墙规则,攻击者正在积极利用Palo Alto Networks Expedition迁移工具中的命令注入漏洞（CVE-2024-9463）和SQL注入漏洞（CVE-2024-9465）

详情如下：
CVE-2024-9463：Palo Alto Networks Expedition命令注入漏洞
Palo Alto Networks Expedition受影响版本中convertCSVtoParquet 接口存在命令注入漏洞，其CVSS评分为9.9，成功利用该漏洞可能导致未经身份验证的攻击者在Expedition中以root 身份运行任意系统命令，从而导致 PAN-OS 防火墙的用户名、明文密码、设备配置和设备API密钥泄露。目前该漏洞的PoC已公开，且已发现被利用。

CVE-2024-9465：Palo Alto Networks Expedition SQL注入漏洞
Palo Alto Networks Expedition受影响版本中存在SQL 注入漏洞，其CVSS评分为9.2，成功利用该漏洞可能导致未经身份验证的攻击者获取Expedition 数据库内容，例如密码哈希、用户名、设备配置和设备 API 密钥等，并可在Expedition系统上创建和读取任意文件。目前该漏洞的技术细节及PoC已公开披露，且已发现被利用。此外，Palo Alto Networks Expedition中还存在另一个命令注入漏洞（CVE-2024-9464，CVSS评分9.3），经过身份验证的攻击者可利用该漏洞在Expedition中以root身份运行任意系统命令；以及PaloAlto Networks Expedition明文存储敏感信息漏洞（CVE-2024-9466，CVSS评分8.2），允许经过身份验证的攻击者获取使用这些凭据生成的防火墙用户名、密码和 API 密钥；和Palo Alto Networks Expedition跨站脚本漏洞（CVE-2024-9467，CVSS评分7.0），攻击者可以诱导已认证的Expedition用户点击恶意链接，从而触发反射型XSS漏洞，导致恶意JavaScript在用户的浏览器上下文中执行，这可能引发钓鱼攻击，进而导致Expedition浏览器会话被盗。

影响范围
Palo Alto Networks Expedition < 1.2.96

修复建议:
升级版本
目前这些漏洞已经修复,受影响用户可升级到以下版本:
Palo Alto Networks Expedition >= 1.2.96

下载链接:
https://live.paloaltonetworks.com/t5/expedition/ct-p/migration_tool

临时措施:
确保对Expedition的网络访问仅限于授权用户、主机或网络。

如果未主动使用Expedition，请确保Expedition软件已关闭。