Im Oktober hatte Palo Alto Networks mehrere, teils kritische Sicherheitslücken im Migrationswerkzeug Expedition gemeldet und Updates zum Stopfen der Lecks bereitgestellt. Jetzt warnt die US-amerikanische IT-Sicherheitsbehörde CISA, dass Angriffe auf diese Schwachstellen in freier Wildbahn beobachtet wurden.
Anzeige
Konkret warnt die CISA davor, dass zwei der vor rund einem Monat korrigierten Lücken angegriffen werden und sie diese Schwachstellen daher in den Katalog der angegriffenen Sicherheitslücken aufnimmt ("Known Exploited Vulnerabilities"-Katalog). Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9463, CVSS 9.9, Risiko "kritisch") sowie um eine SQL-Injection-Schwachstelle (CVE-2024-9465, CVSS 9.2, kritisch) in Palo Altos Expedition.
Angreifer können verwundbare Appliances vollständig kompromittieren, denn Palo Alto erklärt die Auswirkungen der Lücke in der Sicherheitsmitteilung: Die Schwachstellen ermöglichen Angreifern demnach, Datenbankinhalte und beliebige Dateien zu lesen sowie beliebige Dateien in temporäre Verzeichnisse zu schreiben. In Kombination sind dadurch Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Keys von PAN-OS-Firewalls zugreifbar.
Die Sicherheitslecks betreffen Palo Alto Expedition vor der fehlerkorrigierten Version 1.2.96. IT-Verantwortliche sollten umgehend die Aktualisierung anwenden. Außerdem sollen sie sicherstellen, dass die Software nicht aktiv ist, sofern sie nicht gebraucht wird.
Wie üblich schreibt die CISA nicht, wie die beobachteten Angriffe aussehen oder auf welcher Skala sie ablaufen. Es gibt weder von der CISA noch von Palo Alto Hinweise, wie Admins Angriffsversuche oder erfolgreiche Attacken erkennen können.
Vergangenen Freitag hatte die CISA vor aktiv angegriffenen Sicherheitslücken in mehreren Produkten gewarnt, darunter ebenfalls Palo Alto Expedition. Für die dort missbrauchte Schwachstelle hatte Palo Alto im Juli Updates bereitgestellt, die sie ausbessern.
Anzeige