BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls
Das BSI warnt vor einer kritischen Sicherheitslücke in Firewalls von Palo Alto Networks. Sie wird bereits attackiert. Angreifer erhalten root-Zugriff.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In Firewalls von Palo Alto Networks klafft eine kritische Sicherheitslücke, die bereits in freier Wildbahn angegriffen wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor und empfiehlt Admins mit Palo-Alto-Firewalls, die vom Hersteller genannten Maßnahmen zu ergreifen.
Das BSI warnt aktuell sogar auf X / Twitter vor der Sicherheitslücke: Es gibt noch keinen Patch, IT-Verantwortliche sollen kurzfristig handeln. In einer PDF-Datei fasst das BSI den aktuellen Stand zusammen. Demnach warnt Palo Alto Networks vor einer aktiv ausgenutzten Schwachstelle im Betriebssystem PAN-OS der Firewalls.
PAN-OS-Betriebssystem der Firewalls verwundbar
In der GlobalProtect-Gateway-Funktion können Angreifer eine Befehlsschmuggel-Lücke zum Unterjubeln von Befehlen missbrauchen. Das gelingt ohne vorherige Authentifizierung aus dem Internet (CVE-2024-3400, CVSS 10.0, Risiko "kritisch"). Sofern GlobalProtect Gateway und die Telemetrie-Funktion aktiviert sind, sind die Versionen vor PAN-OS 10.2.9-h1, 11.0.4-h1 respektive 11.1.2-h3 für die Attacken anfällig. Ältere PAN-OS Versionen (9.0, 9.1, 10.0 und 10.1) sowie die Cloud-Software NGFW, Panorama Appliances und Prisma Access sind demnach nicht betroffen.
Palo Alto schreiben in ihrer Sicherheitsmitteilung, dass die korrigierten Firmware-Versionen im Laufe des 14. April, also dem kommenden Sonntag, erscheinen sollen. Bis dahin sollen Administratoren und Administratorinnen, die Threat Prevention abonniert haben, die Threat-ID 95187 aktivieren. Dabei sollen sie sicherstellen, dass der Schutz für das GlobalProtect-Interface aktiviert ist.
Wer diese Funktion nicht dazugebucht hat, solle temporär die Telemetrie des Geräts deaktivieren, bis eine korrigierte PAN-OS-Version bereitsteht. Eine Anleitung von Palo Alto Networks beschriebt, wie das geht. Weiter schreibt das Unternehmen, dass diejenigen, die sich sorgen, ob ihr Gerät kompromittiert wurde, einen Support-Fall eröffnen und dort ein "Technical Support File" (TSF) hochladen sollen. Indicators of Compromise (IOCs), also Hinweise auf einen erfolgreichen Angriff, nennt Palo Alto Networks hingegen derzeit nicht.
(dmk)