Administratoren von Palo-Alto-Firewalls erwartet neues Ungemach. Für eine Sicherheitslücke, die in der vergangenen Woche vom Hersteller gemeldet wurde, wird nun in einem Untergrundforum ein Exploit verkauft. Palo Alto hat seinen Sicherheitshinweis dementsprechend erweitert, aber keine Patches bereitgestellt. Betroffene sollen die Web-Verwaltungsoberfläche vom Internet nehmen.
Anzeige
Die Sicherheitslücke versteckt sich in der Web-GUI und erlaubt unangemeldeten Angreifern, eigenen Code einzuschleusen, so der Sicherheitshinweis. Dieser geizt jedoch mit Details oder einer CVE-ID, der CVSS-Punktwert von 9,3 lässt jedoch erahnen, wie heikel der Fehler ist. Er sei leicht aus der Ferne durch Angreifer auszunutzen, die dafür keine Anmeldung benötigen – und das ohne Zutun eines legitimen Nutzers. Exploits mit einer solchen Beschreibung eignen sich hervorragend für die automatisierte Ausnutzung.
Und offenbar passiert genau das bereits, denn im Untergrundforum "Exploit" steht Angriffscode zum Verkauf. Palo Alto hat bereits drei VPN-Adressen ausfindig gemacht, die die Lücke offenbar erfolgreich ausnutzten, weitere dürften folgen. Die Angreifer luden eine "Webshell", also ein Skript zur Ausführung beliebiger Kommandos über eine Weboberfläche, auf den übernommenen Geräten hoch.
Erste Meldungen über die Sicherheitslücke gab es bereits vergangene Woche, Patches oder genaue Versionsinformationen suchen Administratoren auf der Palo-Alto-Seite jedoch vergeblich. Man solle sich über die Geräteverwaltung im eigenen Supportkonto informieren, welche Geräte der Aufmerksamkeit bedürfen, so der Hersteller lediglich. Das Management-Interface darf nicht über das Internet zugreifbar sein, was gemäß verschiedener internetweiter Scans trotzdem noch bei zwischen 9.000 und 31.000 Palo-Alto-Geräten der Fall ist.
Palo Alto hat – wie auch andere Hersteller von Sicherheits-Appliances – derzeit ein erhebliches Ausmaß an Sicherheitslücken, die mitunter kritische Ausmaße annehmen, wie die jüngsten Fehler in Palo Alto Expedition.
Anzeige
(
Kommentare