Palo-Alto: Ungepatchter Zero-Day für Security-Appliances wird ausgenutzt
In der vergangenen Woche hatte Palo Alto Kunden über eine ungepatchte Lücke im Webinterface verschiedener Firewalls informiert. Diese wird nun ausgenutzt.
Das Web-GUI von Palo-Alto-Firewalls öffnet eine Hintertür für Angreifer.
(Bild: erstellt mit KI in Bing Designer durch heise online / cku)
Administratoren von Palo-Alto-Firewalls erwartet neues Ungemach. Für eine Sicherheitslücke, die in der vergangenen Woche vom Hersteller gemeldet wurde, wird seit Wochen in einem Untergrundforum ein Exploit verkauft. Palo Alto hat seinen Sicherheitshinweis dementsprechend erweitert, aber keine Patches bereitgestellt. Betroffene sollen die Web-Verwaltungsoberfläche vom Internet nehmen.
Die Sicherheitslücke versteckt sich in der Web-GUI und erlaubt unangemeldeten Angreifern, eigenen Code einzuschleusen, so der Sicherheitshinweis. Dieser geizt jedoch mit Details oder einer CVE-ID, der CVSS-Punktwert von 9,3 lässt jedoch erahnen, wie heikel der Fehler ist. Er sei leicht aus der Ferne durch Angreifer auszunutzen, die dafür keine Anmeldung benötigen – und das ohne Zutun eines legitimen Nutzers. Exploits mit einer solchen Beschreibung eignen sich hervorragend für die automatisierte Ausnutzung.
Exploitcode im Angebot
Und offenbar passiert genau das bereits, denn im Untergrundforum "Exploit" steht schon seit fast drei Wochen Angriffscode zum Verkauf. Palo Alto hat drei VPN-Adressen ausfindig gemacht, die die Lücke offenbar erfolgreich ausnutzten, weitere dürften folgen. Die Angreifer luden eine "Webshell", also ein Skript zur Ausführung beliebiger Kommandos über eine Weboberfläche, auf den übernommenen Geräten hoch.
Erste Meldungen des Herstellers über die Sicherheitslücke gab es bereits vergangene Woche, Patches oder genaue Versionsinformationen suchen Administratoren auf der Palo-Alto-Seite jedoch vergeblich. Die dringend benötigten Sicherheitsflicken stellt das Unternehmen auch fast drei Wochen nach Bekanntwerden der Lücke nicht zur Verfügung. Man solle sich über die Geräteverwaltung im eigenen Supportkonto informieren, welche Geräte der Aufmerksamkeit bedürfen, so der Palo Alto lediglich. Das Management-Interface dürfe nicht über das Internet zugreifbar sein, was gemäß verschiedener internetweiter Scans trotzdem noch bei zwischen 9.000 und 31.000 Palo-Alto-Geräten der Fall ist.
Palo Alto hat – wie auch andere Hersteller von Sicherheits-Appliances – derzeit ein erhebliches Ausmaß an Sicherheitslücken, die mitunter kritische Ausmaße annehmen, wie die jüngsten Fehler in Palo Alto Expedition.
Der Exploitcode wird bereits seit fast drei Wochen verkauft, dennoch gibt es noch immer keine Patches vom Hersteller. Wir haben die entsprechenden Datumsangaben im Text präzisiert.
(cku)
