Palo Alto Networks: Rund 2.000 Firewalls von Hackern infiltriert
Das IT-Sicherheitsunternehmen Palo Alto Networks (PAN) hat erstmals am 8. November vor einer kritischen Sicherheitslücke in seinen Next-Generation-Firewalls (NGFW) gewarnt, die von Hackern bereits aktiv ausgenutzt wird. Erst seit Montag steht dafür auch ein Patch bereit. Für rund 2.000 Firewalls kommt dieser aber offenbar zu spät. Auch in Deutschland sind wohl einige Systeme kompromittiert worden.
Die besagte Sicherheitslücke(öffnet im neuen Fenster) ist als CVE-2024-0012(öffnet im neuen Fenster) registriert und ermöglicht es nicht authentifizierten Angreifern, sich über das jeweilige Management Interface einen Admin-Zugriff auf anfällige Firewalls zu verschaffen.
Seit Montag gibt es zudem eine Warnung(öffnet im neuen Fenster) vor einer zweiten Lücke ( CVE-2024-9474(öffnet im neuen Fenster) ), die auf dem Betriebssystem der Firewalls eine Privilegienerweiterung ermöglicht und Angreifern Root-Rechte verschafft.
Wie aus einem Blogbeitrag der Unit42(öffnet im neuen Fenster) von Palo Alto Networks hervorgeht, scheinen CVE-2024-0012 und CVE-2024-9474 in Kombination ausgenutzt zu werden, um auf den anfälligen Systemen Malware einzuschleusen. Die Sicherheitsforscher gehen davon aus, dass die Angreifer über eine Exploit-Kette zur Ausnutzung beider Schwachstellen verfügen.
Rund 2.000 kompromittierte Firewalls
Über die genaue Anzahl bereits kompromittierter Firewalls schweigt sich der Hersteller aus. Palo Alto Networks spricht lediglich von Angriffen gegen "eine begrenzte Anzahl" von Geräten. Die Shadowserver Foundation behauptet jedoch in einem Mastodon-Beitrag(öffnet im neuen Fenster) , dass sie am 20. November durch eigene Scans etwa 2.000 infiltrierte Firewalls entdeckt hat.
Auch in Deutschland gibt es demnach einige kompromittierte PAN-Firewalls, wenngleich die Anzahl mit 15 vergleichsweise gering ausfällt. Die meisten infiltrierten Systeme sind den Scans zufolge(öffnet im neuen Fenster) in den USA (554) und Indien (461) stationiert.
Organisationen, die Firewalls von Palo Alto Networks im Einsatz haben, wird dringend empfohlen, die verfügbaren Patches einzuspielen. Beide genannten Sicherheitslücken wurden mit den PAN-OS-Versionen 11.2.4-h1, 11.1.5-h1, 11.0.6-h1, 10.2.12-h2 und 10.1.14-h6 geschlossen. Frühere Versionen gelten als angreifbar. Cloud NGFW und Prisma Access sind nach Angaben des Herstellers grundsätzlich nicht anfällig.
Entdecke während der Black Week exklusive Rabatte auf IT-Sicherheitskurse und E-Learnings in der Golem Karrierewelt. Von praxisnahen Workshops zu Cybersecurity und Zero Trust mit 40 Prozent Preisnachlass bis hin zu E-Learning-Paketen mit bis zu 70 Prozent Rabatt - jetzt Wissen ausbauen und sparen!