Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Zero-Day-Schwachstelle in Management Interface von Palo Alto Networks Firewalls

- Warnmeldung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte eine Sicherheitswarnung zu einer aktiv ausgenutzten Zero-Day-Schwachstelle im Management Interface von Firewalls des Herstellers Palo Alto Networks. Das Unternehmen stellt abgesicherte Versionen zur Verfügung.
Logo Palo Alto Networks

© Rafael Henrique - stock.adobe.com

Die Warnmeldung wurde am 19. November 2024 aufgrund weiterführender Informationen aktualisiert. 

Zero-Day-Schwachstelle aktiv ausgenutzt

Das BSI veröffentlichte am 15. November 2024 eine Cyber-Sicherheitswarnung zu einer Zero-Day-Schwachstelle im Management Interface von Firewalls des Unternehmens Palo Alto Networks. Diese Zero-Day-Schwachstelle werde laut BSI aktiv ausgenutzt. Daher ist für Nutzende der Firewalls von Palo Alto Networks höchste Vorsicht geboten. 

Die Sicherheitslücke CVE-2024-0012 hat einen CVSS-Score von 9.3/10 und ermöglicht Angreifenden, Remote Code Execution (RCE) herbeizuführen, ohne Authentifizierungsmechanismen umgehen zu müssen.

Das BSI veröffentlichte am 19. November 2024 ein Update zu seiner Cyber-Sicherheitswarnung. Darin berichtet das BSI von einer zweiten ausgenutzten Schwachstelle mit der Bezeichnung CVE-2024-9474 und einem CVSS-Score von 6.9/10. CVE-2024-9474 ermöglicht Angreifenden, Root-Rechte zu erlangen. 

CVE-2024-0012 und CVE-2024-9474 betreffen folgende Versionen des Firewall-Betriebssystems PAN-OS:

  • PAN-OS 11.2 vor Version 11.2.4-h1
  • PAN-OS 11.1 vor Version 11.1.5-h1
  • PAN-OS 11.0 vor Version 11.0.6-h1
  • PAN-OS 10.2 vor Version 10.2.12-h2
  • PAN-OS-Versionen vor 10.1.14-h6 sind nur von CVE-2024-9474 betroffen. 

Palo Alto Networks stellt folgende abgesicherte Versionen bereit, die beide Lücken schließen:

  • PAN-OS 11.2 Version 11.2.4-h1
  • PAN-OS 11.1 Version 11.1.5-h1
  • PAN-OS 11.0 Version 11.0.6-h1
  • PAN-OS 10.2 Version 10.2.12-h2
  • PAN-OS 10.1 Version 10.1.14-h6 schließt nur CVE-2024-9474, da die Version nicht von CVE-2024-0012 betroffen ist.

Weiter stellt Palo Alto Networks Indikatoren zur Ermittlung einer Kompromittierung (Indicators of Compromise; IoC) zur Verfügung.

Empfehlungen des BSI

  • Aktualisieren Sie umgehend und je nach Konfiguration Ihre PAN-OS-Version auf eine der folgenden Versionen:
    • PAN-OS 11.2 Version 11.2.4-h1
    • PAN-OS 11.1 Version 11.1.5-h1
    • PAN-OS 11.0 Version 11.0.6-h1
    • PAN-OS 10.2 Version 10.2.12-h2
    • PAN-OS 10.1 Version 10.1.14-h6 nur wegen CVE-2024-9474, da von CVE-2024-0012 nicht betroffen.
  • Prüfen Sie Ihre Systeme mit den von Palo Alto Networks bereitgestellten IoC.
  • Bis Sie eine der abgesicherten Versionen installiert haben, schränken Sie den Zugriff auf das Management Interface Ihrer Palo Alto Networks Firewall ein.

Weitere Informationen