Kritische CVE-2024-5910 in Palo Alto aktiv missbraucht : Lücke in Expedition von Palo Alto Networks aktiv ausgenutzt
Eine kritische Sicherheitslücke in der Palo Alto Networks Expedition mit der Kennung CVE-2024-5910 wurde aktiv ausgenutzt. Die CISA warnt und fordert dringend zum Handeln auf, da Angreifer bereits Systeme kompromittieren.
Die kritische Sicherheitslücke CVE-2024-5910 im Migrationstool Expedition von Palo Alto Networks sorgt derzeit für Aufregung. Mit einem CVSS-Score von 9.3 ist diese Schwachstelle besonders schwerwiegend: Aufgrund einer fehlenden Authentifizierung kann ein Angreifer mit Netzwerkzugang das Administratorkonto von Expedition übernehmen. Dies gibt ihm potenziell Zugriff auf Konfigurationsgeheimnisse, Anmeldedaten und andere sensible Informationen. Die CISA warnte vor den Risiken und wies darauf hin, dass Anzeichen für eine aktive Ausnutzung der Schwachstelle vorliegen.
Betroffen sind sämtliche Expedition-Versionen vor 1.2.92, die im Juli 2024 veröffentlicht wurden, um die Lücke zu schließen. Bisher liegen noch keine detaillierten Berichte darüber vor, wie genau die Schwachstelle in realen Angriffen ausgenutzt wird, doch Palo Alto Networks hat inzwischen die Warnungen der CISA bestätigt und erklärt, dass es Hinweise auf eine aktive Ausnutzung gibt.
Zusätzlich hat die CISA zwei weitere kritische Sicherheitslücken in ihren KEV-Katalog aufgenommen. Eine davon ist die Schwachstelle CVE-2024-43093 im Android-Framework, die laut Google derzeit gezielt ausgenutzt wird, wenn auch in begrenztem Umfang. Die zweite Lücke, CVE-2024-51567, betrifft das weitverbreitete CyberPanel. Mit einem CVSS-Score von 10.0 gehört diese Schwachstelle zur höchsten Risikoklasse: Sie ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung von Befehlen mit Root-Rechten. Die Lücke wurde mit der Veröffentlichung der Version 2.3.8 geschlossen.
Ende Oktober 2023 wurde bekannt, dass die Schwachstelle von Cyberkriminellen massenhaft ausgenutzt wurde, um die PSAUX-Ransomware auf über 22.000 öffentlich zugänglichen CyberPanel-Servern zu installieren, so LeakIX und ein in der Community als Gi7w0rm auftretender Security-Experte.
LeakIX berichtet außerdem, dass drei verschiedene Ransomware-Gruppen die Schwachstelle schnell ausgenutzt haben. In einigen Fällen wurden die Dateien sogar mehrfach verschlüsselt, was das Entschlüsseln noch schwieriger macht.
Die US-Behörden haben die zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB) angewiesen, diese Schwachstellen bis zum 28. November 2024 zu beheben, um ihre Netzwerke vor weiteren Angriffen zu schützen und die Gefahr aktiver Bedrohungen zu minimieren. Angesichts der zunehmenden Angriffe auf Schwachstellen und der Geschwindigkeit, mit der Cyberkriminelle neue Exploits ausnutzen, verdeutlichen diese Vorfälle die Dringlichkeit proaktiver Sicherheitsmaßnahmen.