Palo Alto stümpert bei kritischer Sicherheitslücke im VPN GlobalProtect

Ein Jahr nach dem Schließen einer Sicherheitslücke informiert Palo Alto seine Kunden über die Gefahr. In der Zwischenzeit hackten Forscher damit mal eben Uber.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Palo Alto stümpert bei kritischer Sicherheitslücke im VPN GlobalProtect
Lesezeit: 3 Min.

Es ist eine Sache, wenn man in sicherheitskritischer Software wie einem VPN-Server eine altertümliche, aber überaus kritische Sicherheitslücke hat. Noch etwas anderes ist es, wenn man als Security-Firma den Umgang mit diesem Fehler so verpatzt, dass Kunden über viele Monate einem beträchtlichen Sicherheitsrisiko ausgesetzt sind. So gerade geschehen bei Palo Alto GlobalProtect.

Der VPN-Dienst GlobalProtect von Palo Alto wies offenbar eine extrem kritische Lücke auf. Im Rahmen des SSL-Handshakes mit dem Client übergab das Gateway den Parameter scep-profile-name ungeprüft an die Funktion snprintf(), was sich trivial ausnutzen lässt, um aus dem Internet eigenen Code auf dem Server einzuschleusen und auszuführen. Solche Format-String-Vulnerabilities waren im letzten Jahrzehnt noch sehr verbreitet. Heute sollte so etwas eigentlich nicht mehr vorkommen, wenn man sich um Security bemüht. Da VPN-Server typischerweise Zugang zum Firmennetz vermitteln, ist dies ein äußerst kritischer Punkt für eine solche Sicherheitslücke.

Die Security-Firma Palo Alto hat dieses Sicherheitsproblem in GlobalProtect offenbar selbst gefunden und in aktuellen Versionen seiner Software gefixt. Ein Security-Advisory oder gar eine öffentliche Warnung vor dem Problem gab es jedoch nicht. So verwundert es kaum, dass eine große Zahl der Palo-Alto-Kunden weiterhin anfällige Versionen einsetzt.

Die Security-Forscher Orange Tsai und Meh Chang haben diese Lücke dann kürzlich ebenfalls entdeckt und bei Palo Alto gemeldet. Dort sind sie aber nach eigenem Bericht mit einem "Geh weg, das wissen wir schon" abgeblitzt. Daraufhin haben sie sich ein wenig weiter umgeschaut und kurzerhand auf diesem Weg mal eben Uber gehackt (denen sie dann aber ebenfalls Bescheid gegeben haben). Sie dokumentieren die Lücke ausführlich und stellen auch einen einfachen Demo-Exploit bereit.

Nach Analysen der Forscher sind Software-Versionen vor Juli 2018 betroffen. Offenbar hat Palo Alto die Lücke also vor ziemlich genau einem Jahr entdeckt und erst jetzt ein mageres Security-Advisory Remote Code Execution in GlobalProtect Portal/Gateway Interface (CVE-2019-1579) veröffentlicht. Das empfiehlt Kunden ein Update auf mindestens PAN-OS 7.1.19, PAN-OS 8.0.12, PAN-OS 8.1.3. Version 9 ist nicht betroffen. Ein Security-Blogger schätzt, dass gestern noch etwa 30 Prozent der erreichbaren GlobalProtect-Server anfällig war. Wer GlobalProtect einsetzt, sollte dringend seine Version checken, weil bald mit systematischen Angriffen zu rechnen ist. (ju)