Palo Alto Networks: Entwickler patchen PAN-OS und GlobalProtect App

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Angreifer können an mehreren Sicherheitslücken in PAN-OS von Palo Alto Networks ansetzen und Firewalls attackieren. Außerdem haben die Entwickler eine Lücke in GlobalProtect App geschlossen.

Gefährlicher, als angegeben

In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins weiterführende Informationen zu verwundbaren und gepatchten Versionen. Generell gibt das IT-Sicherheitsunternehmen in diesen Warnmeldungen nur den CVSS-4.0-BT-Score (Base + Threat, ehemals Temporal Score) an, was unüblich ist. Den Großteil der Lücken stuft Palo Alto dadurch mit dem Bedrohungsgrad "mittel" ein.

Ein Blick auf den für die Einstufung üblicherweise herangezogenen CVSS Base Score zeigt jedoch, dass für vier Lücken (PAN-OS: CVE-2025-0128, CVE-2025-0126, CVE-2025-0127, GlobalProtect App: CVE-2025-0120) der Bedrohungsgrad "hoch" gilt.

Auswirkungen von Attacken

Aufgrund von Fehlern im Authentifizierungsfeature Simple Certificate Enrollment Protocol (SCEP) können Angreifer ohne Anmeldung durch das Versenden von präparierten Paketen einen DoS-Zustand auslösen. Firewalls starten dann neu im Wartungsmodus. Demzufolge kann das Gerät Netzwerke nicht mehr schützen.

Eine SAML-Schwachstelle kann Angreifern mehr Rechte verschaffen. Dafür muss ein Opfer aber mitspielen und auf einen präparierten Link klicken. PAN-OS VM-Series ist für Root-Schadcode-Attacken anfällig. Dafür muss ein Angreifer aber bereits Admin sein.

GlobalProtect App hat eine Lücke im Rechtemanagement, wodurch Angreifer sich System-Rechte verschaffen können. Dafür muss ein lokaler Angreifer aber bereits authentifiziert sein und eine Race Condition "gewinnen". Attacken sind also nicht ohne Weiteres möglich.

Bislang gibt es keine Berichte zu bereits bekannten Angriffen auf die Schwachstellen. Admins sollten die in den Warnmeldungen aufgelisteten Sicherheitsupdates zeitnah installieren.

Die Liste der Sicherheitsmitteilungen, nach Bedrohungsgrad der Lücken absteigend sortiert:

• CVE-2025-0128 PAN-OS: Firewall Denial of Service (DoS) Using a Specially Crafted Packet
• CVE-2025-0126 PAN-OS: Session Fixation Vulnerability in GlobalProtect SAML Login
• CVE-2025-0125 PAN-OS: Improper Neutralization of Input in the Management Web Interface
• CVE-2025-0120 GlobalProtect App: Local Privilege Escalation (PE) Vulnerability
• CVE-2025-0127 PAN-OS: Authenticated Admin Command Injection Vulnerability in PAN-OS VM-Series
• CVE-2025-0124 PAN-OS: Authenticated File Deletion Vulnerability on the Management Web Interface
• CVE-2025-0123 PAN-OS: Information Disclosure Vulnerability in HTTP/2 Packet Captures

(des)