BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls

In Firewalls von Palo Alto Networks klafft eine kritische Sicherheitslücke, die bereits in freier Wildbahn angegriffen wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor und empfiehlt Admins mit Palo-Alto-Firewalls, die vom Hersteller genannten Maßnahmen zu ergreifen.

Anzeige

Das BSI warnt aktuell sogar auf X / Twitter vor der Sicherheitslücke: Es gibt noch keinen Patch, IT-Verantwortliche sollen kurzfristig handeln. In einer PDF-Datei fasst das BSI den aktuellen Stand zusammen. Demnach warnt Palo Alto Networks vor einer aktiv ausgenutzten Schwachstelle im Betriebssystem PAN-OS der Firewalls.

In der GlobalProtect-Gateway-Funktion können Angreifer eine Befehlsschmuggel-Lücke zum Unterjubeln von Befehlen missbrauchen. Das gelingt ohne vorherige Authentifizierung aus dem Internet (CVE-2024-3400, CVSS 10.0, Risiko "kritisch"). Sofern GlobalProtect Gateway und die Telemetrie-Funktion aktiviert sind, sind die Versionen vor PAN-OS 10.2.9-h1, 11.0.4-h1 respektive 11.1.2-h3 für die Attacken anfällig. Ältere PAN-OS Versionen (9.0, 9.1, 10.0 und 10.1) sowie die Cloud-Software NGFW, Panorama Appliances und Prisma Access sind demnach nicht betroffen.

Palo Alto schreiben in ihrer Sicherheitsmitteilung, dass die korrigierten Firmware-Versionen im Laufe des 14. April, also dem kommenden Sonntag, erscheinen sollen. Bis dahin sollen Administratoren und Administratorinnen, die Threat Prevention abonniert haben, die Threat-ID 95187 aktivieren. Dabei sollen sie sicherstellen, dass der Schutz für das GlobalProtect-Interface aktiviert ist.

Lesen Sie auch

Sicherheitsupdate: Kritische Root-Lücke bedroht Firewalls von Palo Alto

heise Security

Wer diese Funktion nicht dazugebucht hat, solle temporär die Telemetrie des Geräts deaktivieren, bis eine korrigierte PAN-OS-Version bereitsteht. Eine Anleitung von Palo Alto Networks beschriebt, wie das geht. Weiter schreibt das Unternehmen, dass diejenigen, die sich sorgen, ob ihr Gerät kompromittiert wurde, einen Support-Fall eröffnen und dort ein "Technical Support File" (TSF) hochladen sollen. Indicators of Compromise (IOCs), also Hinweise auf einen erfolgreichen Angriff, nennt Palo Alto Networks hingegen derzeit nicht.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)