Palo Alto Networks hat heute eine kritische, noch nicht gepatchte Befehlsinjektionsschwachstelle in seiner PAN-OS Firewall bekannt gegeben, die bereits aktiv für Angriffe genutzt wird. Dies folgt auf frühere Warnungen bezüglich hochgradiger Sicherheitslücken, die wir bereits diskutiert hatten.

Die Schwachstelle, entdeckt von Volexity und als CVE-2024-3400 katalogisiert, ermöglicht eine Befehlsinjektion und wurde mit der höchsten Schwerebewertung von 10.0 eingestuft. Für die Ausnutzung sind weder spezielle Privilegien noch Benutzerinteraktionen erforderlich.

Konfigurationsabhängige Sicherheitslücke:

Die Sicherheitslücke betrifft spezifische Versionen der PAN-OS-Software, insbesondere wenn sowohl das GlobalProtect-Gateway als auch die Gerätetelemetrie aktiviert sind. „Eine Befehlsinjektionsschwachstelle in der GlobalProtect-Funktion der PAN-OS-Software ermöglicht es einem nicht authentifizierten Angreifer, willkürlichen Code mit Root-Privilegien auf der Firewall auszuführen,“ erläutert das Sicherheitsbulletin von Palo Alto Networks.

Betroffene Versionen und Sofortmaßnahmen:

Die betroffenen Versionen sind PAN-OS 10.2, 11.0 und 11.1. Korrekturen für diese Versionen werden bis zum 14. April 2024 erwartet. Der Hersteller wird bereits am kommenden Sonntag Hotfixes mit den folgenden Versionen bereitstellen:

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Produkte wie Cloud NGFW, Panorama-Geräte und Prisma Access sind von dieser Schwachstelle nicht betroffen.

Globale Betroffenheit und Exploitierung:

Threat Researcher Yutaka Sejiyama berichtet, dass derzeit 82.000 Geräte online exponiert sind, die potenziell durch CVE-2024-3400 gefährdet sein könnten, wobei 40% davon in den Vereinigten Staaten lokalisiert sind.

Maßnahmen zur Minderung des Risikos:

Da CVE-2024-3400 bereits aktiv ausgenutzt wird, müssen betroffene Nutzer umgehend Maßnahmen ergreifen:

  • Nutzer mit einem aktiven ‚Threat Prevention‘-Abonnement können Angriffe blockieren, indem sie ‚Threat ID 95187‘ in ihrem System aktivieren.
  • Es wird empfohlen, den Vulnerability-Schutz auf ‚GlobalProtect Interfaces‘ zu konfigurieren, um Ausnutzungen zu verhindern. Weitere Informationen dazu finden Sie hier.
  • Deaktivieren Sie die Gerätetelemetrie, bis die Patching-Maßnahmen angewendet sind. Anweisungen dazu finden Sie auf dieser Webseite.

Vergangene und gegenwärtige Bedrohungen:

Bereits im August 2022 wurden Zero-Day-Schwachstellen in PAN-OS von Hackern ausgenutzt, um verstärkte TCP Denial-of-Service (DoS)-Angriffe durchzuführen. Das aktuelle Problem ist jedoch weitaus gravierender und könnte bei Ausnutzung erheblichen Schaden anrichten. Administratoren müssen daher schnell handeln, um ihre Systeme zu sichern.

Fazit:

Die Entdeckung und aktive Ausnutzung dieser Schwachstelle unterstreicht die anhaltende Bedrohung durch hochentwickelte Cyberangriffe und die Notwendigkeit für Unternehmen, ihre Netzwerksicherheit ständig zu überprüfen und zu verstärken. Nutzer von Palo Alto Networks‘ Produkten sollten die verfügbaren Sicherheitsupdates umgehend implementieren und zusätzliche Schutzmaßnahmen ergreifen, um ihre Infrastruktur zu schützen.