Palo Alto Networks: Hacker infiltrieren Firewalls durch Zero-Day-Schwachstelle
Sicherheitsforscher von Volexity haben eine schon mindestens seit dem 26. März 2024 aktiv ausgenutzte Zero-Day-Schwachstelle in dem auf Firewallsystemen von Palo Alto Networks verwendeten Betriebssystem Pan-OS entdeckt. Die als CVE-2024-3400 registrierte Sicherheitslücke ist mit einem maximal möglichen CVSS von 10 als kritisch eingestuft und ermöglicht es nicht authentifizierten Angreifern, auf betroffenen Systemen aus der Ferne beliebigen Code mit Root-Rechten auszuführen.
Betroffen sind laut Unit 42 von Palo Alto Networks(öffnet im neuen Fenster) die Pan-OS-Versionen 10.2, 11.0 und 11.1. Damit die Schwachstelle ausgenutzt werden kann, müssen auf den Firewallsystemen des Herstellers die Telemetrie-Funktion sowie Globalprotect Gateway oder Globalprotect Portal (oder beide) aktiviert sein. Cloud Firewalls (NGFW), Panorama Appliances, Prisma Access und ältere Pan-OS-Versionen (9.0, 9.1, 10.0 und 10.1) sind nicht gefährdet.
Hotfix und Workaround stehen bereit
Am 15. April stellte Palo Alto Networks Hotfixes für CVE-2024-3400 bereit. Einem Sicherheitshinweis des Herstellers(öffnet im neuen Fenster) zufolge kommen diese mit den Pan-OS-Versionen 10.2.9-h1, 11.0.4-h1 und 11.1.2-h3. Administratoren sollten die aktualisierten Versionen möglichst zeitnah installieren oder alternativ die Telemetrie-Funktion vorübergehend deaktivieren, bis ein Update möglich ist. Threat-Prevention-Abonnenten können mögliche Angriffe außerdem über die Threat ID 95187 blockieren.
Nach Angaben des Herstellers wird CVE-2024-3400 bereits von mindestens einer Hackergruppe aktiv ausgenutzt. "Wir gehen außerdem davon aus, dass in Zukunft weitere Akteure versuchen werden, die Schwachstelle auszunutzen" , warnt Palo Alto Networks. Jenen Administratoren, die glauben, dass ihre Firewall bereits kompromittiert wurde, empfiehlt das Unternehmen, seinen Support zu kontaktieren.
Auch diverse Sicherheitsbehörden wie das BSI (PDF)(öffnet im neuen Fenster) und die US-amerikanische Cisa(öffnet im neuen Fenster) gaben bereits Warnungen vor der aktiven Ausnutzung von CVE-2024-3400 heraus.
Angreifer schaffen sich eine Backdoor
Die Entdecker der Sicherheitslücke erklären in einem Blogbeitrag(öffnet im neuen Fenster) , der als UTA0218 bezeichnete Bedrohungsakteur nutze CVE-2024-3400 aus, um auf anfälligen Firewalls eine Reverse Shell zu erstellen und anschließend weitere Tools wie etwa eine Python-Backdoor auf die Zielgeräte zu laden. Durch die Backdoor sei es UTA0218 im Anschluss möglich, über speziell gestaltete Netzwerkanfragen weitere Befehle auf den Pan-OS-Geräten auszuführen.
"Der Angreifer konzentriert sich darauf, Konfigurationsdaten von den Geräten zu exportieren und die Systeme dann als Einstiegspunkt zu nutzen, um sich seitlich innerhalb der Zielorganisationen zu bewegen" , so die Volexity-Forscher. Weitere Details zur Vorgehensweise und den Tools der Angreifer sind im Blogbeitrag von Volexity zu finden.