Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Palo Alto unter Beschuss: Neue Sicherheitsupdates : Neue IoCs und Patches für PAN-OS-Sicherheitslücken

Palo Alto Networks hat wichtige Sicherheitsmaßnahmen veröffentlicht, nachdem kritische Schwachstellen in der PAN-OS-Software entdeckt und bereits aktiv ausgenutzt wurden. Neue IoCs und Patches bieten Unternehmen Werkzeuge, um Angriffe abzuwehren. Jetzt handeln ist unverzichtbar!

AllgemeinBedrohungen
Lesezeit 3 Min.

Palo Alto berichtet von schädlichen Aktivitäten, die von den folgenden IP-Adressen ausgingen und sich gegen die über das Internet erreichbare Verwaltungswebschnittstelle von PAN-OS richteten:

  • 136.144.17[.]*
  • 173.239.218[.]251
  • 216.73.162[.]*

Das Unternehmen wies jedoch darauf hin, dass diese IP-Adressen möglicherweise auch für legitime Aktivitäten genutzt werden könnten. Sie könnten von Drittanbieter-VPNs stammen, über die echte Nutzer Verbindungen zu anderen Zielen herstellen.

Das aktualisierte Sicherheitsbulletin von Palo Alto Networks zeigt, dass die Schwachstelle genutzt wird, um eine sogenannte Web-Shell auf betroffenen Geräten zu installieren. Diese erlaubt Angreifern dauerhaften Fernzugriff auf das System.

Die Schwachstelle, die bisher noch keine CVE-Nummer erhalten hat, hat einen CVSS-Wert von 9,3 und wird als kritisch eingestuft. Sie ermöglicht Angreifern die Ausführung von Befehlen aus der Ferne, ohne dass eine Authentifizierung erforderlich ist.

Laut Palo Alto Networks benötigt diese Schwachstelle weder Benutzerinteraktion noch besondere Zugriffsrechte und wird als einfach auszunutzen bewertet. Die Ausnutzung lässt sich jedoch schnell erschweren (CVSS-Wert: 7,5), indem der Zugriff auf die Verwaltungsschnittstelle nur für einen begrenzten Kreis von IP-Adressen eingeschränkt wird. In diesem Fall müssten Angreifer zuerst Zugriff auf diese IP-Adressen erlangen.

Am 8. November 2024 begann Palo Alto Networks, seinen Kunden zu empfehlen, die Firewall-Verwaltungsschnittstellen besser abzusichern, nachdem Berichte über eine Schwachstelle zur Remote-Code-Ausführung (RCE) bekannt wurden. Inzwischen wurde bestätigt, dass diese Schwachstelle in einer „begrenzten Anzahl“ von Fällen ausgenutzt wurde.

Bisher gibt es keine Informationen darüber, wie die Schwachstelle entdeckt wurde, wer hinter den Angriffen steckt oder welche Ziele die Angreifer hatten. Die Produkte Prisma Access und Cloud NGFW sind nicht betroffen.

Da es noch keine Sicherheitsupdates für die Schwachstelle gibt, empfiehlt Palo Alto Networks dringend, sofort Maßnahmen zu ergreifen, um den Zugang zur Verwaltungsschnittstelle einzuschränken, falls dies bisher nicht geschehen ist.

Zusätzlich hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) gemeldet, dass drei andere kritische Schwachstellen in Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 und CVE-2024-9465) aktiv ausgenutzt wurden. Es gibt jedoch bisher keine Hinweise darauf, dass diese Vorfälle in Zusammenhang stehen.

Patches kommen sukzessive

Palo Alto Networks hat nun offiziell Sicherheitsupdates für zwei Schwachstellen bereitgestellt, die bereits aktiv ausgenutzt werden. Diese Schwachstellen ermöglichen Angreifern, ihre Zugriffsrechte zu erweitern und schädliche Aktionen auszuführen. Im Detail geht es um:

  • CVE-2024-9474 (CVSS-Wert: 6,9): Eine Schwachstelle zur Rechteausweitung in der PAN-OS-Software von Palo Alto Networks. Sie ermöglicht es einem PAN-OS-Administrator mit Zugriff auf die Verwaltungswebschnittstelle, Aktionen mit Root-Rechten auf der Firewall auszuführen.
  • CVE-2024-0012 (CVSS-Wert: 9,3): Eine Schwachstelle, die eine Umgehung der Authentifizierung in der PAN-OS-Software erlaubt. Dadurch kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf die Verwaltungswebschnittstelle Administratorrechte erlangen, administrative Aktionen ausführen, die Konfiguration manipulieren oder andere Schwachstellen wie CVE-2024-9474 ausnutzen.

Die genannten Schwachstellen wurden in den folgenden PAN-OS-Versionen behoben:

  • PAN-OS 10.1.14-h6
  • PAN-OS 10.2.12-h2
  • PAN-OS 11.0.6-h1
  • PAN-OS 11.1.5-h1
  • PAN-OS 11.2.4-h1

Die Updates stehen auch in Wartungsversionen und allen späteren PAN-OS-Versionen zur Verfügung.

In einem separaten Bericht erklärte Palo Alto Networks, dass verdächtige Aktivitäten von IP-Adressen festgestellt wurden, die oft mit anonymen VPN-Diensten genutzt werden. Der Vorfall wird derzeit untersucht und trägt den Namen Operation Lunar Peek.

Laut dem Bericht gehören zu den Aktivitäten nach der Ausnutzung unter anderem das Ausführen interaktiver Befehle sowie das Platzieren von Schadsoftware, wie [PHP]-Web-Shells, auf der Firewall.

Die CISA hat beide Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Sie hat von den zivilen Bundesbehörden (FCEB) gefordert, die Schwachstellen bis spätestens 9. Dezember 2024 zu beheben.

Weitere Artikel zum Thema:

PAN-OS-Sicherheitslücke: Palo Alto warnt vor Angriffen

Palo Alto muss erneut patchen

Akute Gefahr durch kritische PAN-OS-Schwachstelle

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.