Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Palo-Alto-Firewall: Schwachstelle bereits ausgenutzt

- Warnmeldung

Aufgrund einer Sicherheitslücke in der Firewall von Palo Alto können Angreifende bösartige Programme mit Root-Rechten ausführen. Davor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Schwachstelle wird in zunehmender Breite ausgenutzt, so dass ungepatchte Firewalls als stark gefährdet gelten. Hotfixes für einige Firewall-Versionen sind bereits verfügbar, weitere sind angekündigt.
Laptop mit Wappen und Schloss-Symbol

© Adobe Stock

Die Warnmeldung wurde am 25. April 2024 aufgrund weiterführender Informationen aktualisiert. 

Ungepatchte Schwachstelle ausgenutzt

Angreifende nutzen eine Sicherheitslücke in PAN-OS aus, dem Betriebssystem der Firewalls von Palo Alto. Diese Lücke ermöglicht eine OS Command Injection. Dies erlaubt die Ausführung von Schadcode mit Root-Rechten auf der Firewall.

Der von Palo Alto zunächst veröffentlichte Workaround, die Telemetrie-Option auszuschalten, ist nicht wirksam. Deshalb ist eine Prüfung der Systeme auf Betroffenheit erforderlich! Palo Alto ergänzte dazu seine Sicherheitsempfehlung um eine weitere Detektionsmöglichkeit.

Betroffen sind folgende Versionen des Betriebssystems:

  • PAN-OS 11.1 mit Version < 11.1.2-h3
  • PAN-OS 11.0 mit Version < 11.0.4-h1
  • PAN-OS 10.2 mit Version < 10.2.9-h1

Folgende Hotfixes stellt Palo Alto zur Verfügung:

  • PAN-OS 10.2: 10.2.9-h1, 10.2.8-h3, 10.2.7-h8, 10.2.6-h3, 10.2.5-h6
  • PAN-OS 11.0: 11.0.4-h1, 11.0.3-h10, 11.0.2-h4
  • PAN-OS 11.1: 11.1.2-h3, 11.1.1-h1, 11.1.0-h3

Das IT-Sicherheitsunternehmen Veloxity beschreibt das Vorgehen der Angreifenden und listet Indikatoren (IoC: Indicators of Compromise) auf. Unit 42, das Cyber- und IT-Sicherheitsteam von Palo Alto, veröffentlicht ebenfalls IoCs. Diese finden Sie unter folgenden Links:

Eckdaten zur Schwachstelle

CVE-Nummer: CVE-2024-3400

CVSS-Base-Score: 10 (kritisch)

Produkte von Drittanbietern ebenfalls verwundbar

Außer der Hardware von Palo Alto können auch Produkte von Drittanbietern anfällig sein. Dies gilt für Produkte, bei denen die verwundbaren PAN-OS-Versionen z. B. als virtuelle Maschine integriert sind und Global Protect konfiguriert ist. Das berichtet Siemens in einer Sicherheitsempfehlung, die unten verlinkt ist.

Möglicherweise werden verwundbare Produkte von Drittanbietern leichter übersehen. Dadurch besteht das Risiko, dass eine mögliche Kompromittierung länger unerkannt bleibt.

Bewertung des BSI

Firewalls sind grundlegende Sicherheitskomponenten für IT-Netzwerke. Eine Kompromittierung oder ein Ausfall kann gravierende Auswirkungen haben und zu massiven Beeinträchtigungen führen.

Deshalb sind Firewalls interessante Ziele für Angreifende, um Zugriff auf Netzwerke zu erhalten und weitere Angriffe auszuüben.

Angriffe auf ungepatchte Palo-Alto-Firewalls finden bereits breitflächig statt.

Empfehlungen des BSI

Aufgrund der Bedeutung von Firewalls zum Schutz interner Netzwerke sollten Maßnahmen sofort ergriffen werden.

  • Spielen Sie verfügbare Patches zeitnah ein.
  • Wenn Sie die Threat-Prevention-Dienstleistung von Palo Alto nutzen, können Sie Angriffe durch Aktivierung der Threat-IDs 95187, 95189 und 95191 blockieren. Zusätzlich müssen Sie Vulnerability Protection auf dem GlobalProtect-Interface aktivieren.
  • Prüfen Sie, ob die Firewall bereits kompromittiert wurde. Hinweise dazu finden Sie in den Links unten.
  • Hinweise zur Absicherung von Produkten von Drittherstellern entnehmen Sie den Sicherheitsempfehlungen dieser Hersteller.

Weitere Informationen