Palo-Alto-Firewalls: Mehr Angriffe und Proofs-of-Concept aufgetaucht
Für die root-Zugriffslücke in Firewalls von Palo Alto Networks sind Proof-of-Concept-Exploits aufgetaucht. Angriffe nehmen zu.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Zum vergangenen Wochenende warnte das BSI vor einer aktiv angegriffenen Sicherheitslücke in den Firewalls von Palo Alto Networks und deren Betriebssystem PAN-OS. Inzwischen sind Updates zum Schließen der Lücke verfügbar, gleichzeitig aber auch Proof-of-Concept-Exploitcode – und die Angriffe nehmen zu. Eine zunächst vorgeschlagene Gegenmaßnahme scheint zudem wirkungslos zu sein.
Palo Alto hat die Sicherheitsmitteilung zur Schwachstelle im PAN-OS-Betriebssystem der Firewalls inzwischen aktualisiert (CVE-2024-3400, CVSS 10, Risiko "kritisch"). Es sind inzwischen wie angekündigt die ersten Aktualisierungen auf PAN-OS 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1, 11.0.2-h4, 11.0.3-h10, 11.0.4-h1, 11.1.0-h3, 11.1.1-h1 sowie 11.1.2-h3 (und jeweils neuer) verfügbar, die das Sicherheitsleck abdichten. IT-Verantwortliche sollten sie umgehend anwenden, so noch nicht geschehen. Als nicht verwundbar listet Palo Alto Prisma Access, PAN-OS 9.0, 9.1, 10.0, 10.1 und Cloud NGFW auf.
PAN-OS-Lücke: wirkungsloser Workaround
Es stehen jedoch noch weitere Updates aus. Für den Mittwoch dieser Woche sind noch PAN-OS 10.2.1-h2, 10.2.3-h13 und 11.0.1-h4 geplant. Donnerstag will Palo Alto PAN-OS 10.2.0-h3, 10.2.2-h5, und 11.0.0-h3 nachlegen, Freitag schließlich PAN-OS 10.2.4-h16. Anfällig sind die Firewalls, sofern sie mit GlobalProtect Gateway, GlobalProtect Portal oder beidem konfiguriert sind.
Als temporäre Gegenmaßnahme erwähnt Palo Alto jetzt lediglich zu aktivierende Threat-IDs der kostenpflichtigen Threat Prevention. Inzwischen gibt es drei Regeln zur Abwehr, die Threat-IDs 95187, 95189 und 95191. Zuvor hatten die Mitarbeiter noch das Abschalten der Geräte-Telemetrie als Gegenmaßnahme genannt. Das hat sich als unwirksam herausgestellt, die Telemetrie muss nicht aktiviert sein, damit die Schwachstelle erfolgreich angegriffen werden kann.
Palo Alto gibt nun auch Hinweise, nach denen IT-Verantwortliche suchen können, um Indizien eines Exploits zu erkennen. An der Kommandozeile deuten Ausgaben des Befehls grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log* auf einen Angriff hin. Wenn diese in der Form "message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)" auftauchen und die Werte in den Klammern nicht wie eine GUID aussehen, sondern einen Pfad im Dateisystem enthalten, könnte das auf einen Angriff auf die Lücke CVE-2024-3400 hinweisen.
Auf Twitter zeigt TrustedSec einen Proof-of-Concept-Exploit in Form eines konkreten HTTP-Get-Request, mit dem die Palo-Alto_Firewalls angegriffen werden. In der Sicherheitsmeldung erklärt Palo Alto, dass das Unternehmen eine wachsende Zahl an Angriffen auf diese Schwachstelle sieht und dass Proofs-of-Concept öffentlich durch Dritte veröffentlicht wurden.
Die IT-Analysten von Palo Alto liefern auch eine Analyse eines Angriffs auf der Webseite. Darin finden Interessierte einige Hinweise, wie sich bösartige Akteure in der "Operation MidnightEclipse" auf den erfolgreich angegriffenen Geräten eingenistet haben.
(dmk)