Alert!

Palo-Alto: Sicherheitslücken in Firmware und Bootloadern von Firewalls

Die Firmware und Bootloader von einigen Palo-Alto-Firewalls weisen Sicherheitslecks auf, die Angreifern das Einnisten nach Angriffen ermöglichen.

4

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

27.01.2025, 09:26 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.

In der Sicherheitsmitteilung von Palo Alto erklären die Entwickler des Unternehmens, dass es von der "Behauptung von mehreren Schwachstellen in Hardware-Geräte-Firmware und Bootloadern als Teil unserer PA-Baureihe an (Hardware-)Firewalls" wisse. "Es ist bösartigen Akteuren oder PAN-OS-Administratoren nicht möglich, diese Schwachstellen unter normalen Bedingungen in PAN-OS-Versionen mit aktuellen, gesicherten Verwaltungsschnittstellen auszunutzen, die den Best-Practices-Regeln entsprechend aufgesetzt wurden", schreiben sie weiter.

Ältere Sicherheitslücken in Firmware und Bootloadern

User und Admins hätten keinen Zugriff auf die BIOS-Firmware oder die Rechte, sie zu ändern. Angreifer müssten das System kompromittieren und schließlich Linux-Root-Rechte erlangen, um die Lücken zu missbrauchen. Die Schwachstellen hat die IT-Sicherheitsfirma Eclypsium aufgespürt und merkt dazu etwas ironisch an: "Glücklicherweise für Angreifer (und unglücklich für Verteidiger), ist das Erlangen von Root-Rechten auf Palo Alto PAN-OS-Geräten möglich durch das Kombinieren von Exploits für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474" –Ende November wurden dadurch weltweit mehr als 2000 Palo-Alto-Geräte geknackt.

Die Sicherheitsmitteilung listet eine Reihe älterer Sicherheitslücken auf, für die jeweils einige konkret untersuchte Geräte-Reihen anfällig sind. Dazu gehört etwa die BootHole genannte Schwachstelle, die im Jahr 2020 bekannt wurde und aufgrund von Fehlern im Bootloader Grub2 trotz Secure Boot Angreifern ermöglicht, sich in den Boot-Prozess einzuklinken und quasi unsichtbare Schadsoftware einzuschleusen.

Die einzelnen Sicherheitslecks betreffen insbesondere Geräte aus den Serien PA-3200, PA-5200 und PA-7000, die mit Switch Management Card (SMC-B) ausgestattet sind. Andere Produkte und Baureihen, etwa Cloud-NGFW, PAN-OS CN, PAN-OS VM und Prisma Access seien hingegen nicht anfällig. Palo Alto sind auch keine Angriffe in freier Wildbahn auf diese Lücken bekannt. Das Unternehmen arbeite mit den Drittanbietern zusammen, um Firmware-Updates zu entwickeln, die "nötig sein könnten". Um das Risiko des Missbrauchs zu reduzieren, sollten die Appliances auf die jüngsten PAN-OS-Version aktualisiert werden. Zudem empfehle sich, den Zugriff auf die Verwaltungsoberfläche auf vertrauenswürdige interne IPs zu beschränken, wie es die Best-Practices-Richtlinien empfehlen.