Neuer RCE-Angriff : Palo Alto muss erneut patchen
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) muss erneut aktiv werden: Zwei schwerwiegende Sicherheitslücken in der Expedition-Software von Palo Alto Networks werden derzeit aktiv von Angreifern ausgenutzt. Betroffene Organisationen sind dringend aufgefordert, Sicherheitsupdates durchzuführen, um Datenverluste und potenzielle Systemkompromittierungen zu verhindern.
Die CISA hat die schwerwiegenden Sicherheitslücken in der Palo Alto Networks Expedition-Software in ihren Katalog „Bekanntermaßen ausgenutzter Schwachstellen“ (KEV) aufgenommen. Bundesbehörden der zivilen Exekutive (FCEB) sind dazu verpflichtet, die erforderlichen Updates bis zum 5. Dezember 2024 durchzuführen.
Die betroffenen Sicherheitslücken sind:
- CVE-2024-9463 (CVSS-Wert: 9,9) – Befehlsinjektions-Sicherheitslücke im Betriebssystem von Palo Alto Networks Expedition
- CVE-2024-9465 (CVSS-Wert: 9,3) – SQL-Injektions-Sicherheitslücke in Palo Alto Networks Expedition
Die Schwachstellen ermöglichen es Angreifern, ohne vorherige Authentifizierung gefährliche Aktionen auszuführen. Sie könnten beispielsweise beliebige Befehle mit Root-Rechten im Expedition-Migrationstool ausführen oder auf sensible Daten in der Datenbank zugreifen. Dies könnte dazu führen, dass Benutzernamen, Passwörter im Klartext, Konfigurationsdaten und API-Schlüssel von PAN-OS-Firewalls offengelegt werden. Zudem könnten Angreifer beliebige Dateien auf dem betroffenen System erstellen oder lesen.
Palo Alto Networks hat diese Sicherheitslücken durch Updates behoben, die am 9. Oktober 2024 veröffentlicht wurden. In seinem inzwischen aktualisierten Ratgeber hat das Unternehmen bestätigt, dass die CISA Berichte über eine aktive Ausnutzung der Schwachstellen CVE-2024-9463 und CVE-2024-9465 vorliegen. Details zur genauen Art der Angriffe, den beteiligten Angreifern und ihrem Ausmaß sind allerdings noch begrenzt.
Die Warnung erfolgt kurz nachdem die CISA eine weitere Schwachstelle, CVE-2024-5910 (CVSS-Wert: 9,3), bekannt gemacht hatte, die ebenfalls Expedition betrifft und aktiv ausgenutzt wird.
Neue Schwachstelle bestätigt
Palo Alto Networks hat außerdem eine weitere Schwachstelle bestätigt, die es Angreifern ermöglicht, ohne Authentifizierung Remote-Befehle auf bestimmten Firewall-Verwaltungsschnittstellen auszuführen, die direkt mit dem Internet verbunden sind. Diese Schwachstelle betrifft nur eine kleine Anzahl solcher Schnittstellen. Das Unternehmen empfiehlt seinen Kunden dringend, diese Schnittstellen zu sichern.
Die Schwachstelle, die mit einem CVSS-Wert von 9,3 bewertet wurde (noch ohne CVE-Kennung), wird derzeit untersucht. Palo Alto Networks arbeitet daran, so schnell wie möglich Updates und Bedrohungsschutzmaßnahmen bereitzustellen.