Akute Gefahr durch kritische PAN-OS-Schwachstelle

Palo Alto Networks warnt davor, dass eine kritische Schwachstelle in der PAN-OS-Software seiner GlobalProtect-Gateways aktiv ausgenutzt wird. Die Schwachstelle wird unter der Bezeichnung CVE-2024-3400 geführt und hat einen CVSS-Score von 10.0, was den höchsten Schweregrad angibt.

Laut Palo Alto Networks kann die Sicherheitslücke in der GlobalProtect-Funktion der PAN-OS-Software es einem nicht-authentifizierten Angreifer ermöglichen, beliebigen Code mit Root-Rechten auf der Firewall auszuführen. Dies wurde in einem am 12. April veröffentlichten Advisory des Unternehmens bekanntgegeben.

Betroffen sind die Versionen PAN-OS 10.2, 11.0 und 11.1. Die Schwachstelle wurde bereits in den „Hotfix-Releases“ 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1,  11.0.2-h4, 11.0.3-h10, 11.0.4-h1 sowie 11.1.0-h3, 11.1.1-h1 und 11.1.2-h3 behoben. Für weitere vebreitete Maintenance-Releases sollen Hotfixes in den nächsten Tagen folgen.

Das Unternehmen wies darauf hin, dass das Problem nur auftrete, wenn sowohl die Konfigurationen für das GlobalProtect-Gateway (Netzwerk/GlobalProtect/Gateways) als auch die Gerätetelemetrie (Gerät/Setup/Telemetrie) auf den Firewalls aktiviert seien.

Die Entdeckung und Meldung des Fehlers geschah durch das Threat-Intelligence- und Incident-Response-Unternehmen Volexity. Obwohl es keine weiteren technischen Details zu den Angriffen oder den Angreifern gibt, hat Palo Alto Networks verlautbart, dass „einige wenige Angriffe bekannt sind, die diese Schwachstelle ausnutzen“. Palo Alto Networks empfiehlt seinen Kunden mit einem Threat-Prevention-Abonnement, die Threat ID 95187 zu aktivieren, um sich vor dieser Bedrohung zu schützen.

Die Entwicklung wird mit chinesischen Bedrohungsakteuren in Zusammenhang gebracht, die zunehmend Zero-Day-Schwachstellen bei Barracuda Networks, Fortinet, Ivanti und VMware nutzen, um in interessante Ziele einzudringen und verdeckte Hintertüren für dauerhaften Zugriff einzurichten.