Security-Forscher: 2.000 Palo Alto Networks Firewalls bei jüngsten Angriffen kompromittiert

Die Kampagne von Bedrohungsakteuren auf Firewalls von Palo Alto Networks hat zwei Schwachstellen ausgenutzt. Der Hersteller bestätigt den Hackerangriff, hält die Zahl der kompromittieren Systeme aber für zu hoch.

Eine jüngste Welle von Cyberangriffen, die zwei inzwischen gepatchte Schwachstellen ausnutzt, hat mindestens 2.000 Palo Alto Networks Firewalls kompromittiert, so die Forscher von Shadowserver. Die Kampagne hat zwei Schwachstellen ausgenutzt, die die PAN-OS Software von Palo Alto Networks betreffen - eine kritische Schwachstelle zur Umgehung der Authentifizierung (CVE-2024-0012) und eine mittelschwere Schwachstelle zur Privilegien-Erweiterung (CVE-2024-9474).

Die Schwachstelle mit kritischem Schweregrad betrifft bestimmte über das Internet zugängliche Firewall-Management-Schnittstellen von Palo Alto Networks und wurde erstmals am 8. November bekannt gegeben (PAN-SA-2024-0015).

Palo Alto Networks, der Hersteller von weit verbreiteten Next-Generation-Firewalls (NGFW), gab am 14. November bekannt, dass die kritische Sicherheitslücke bei Cyberangriffen ausgenutzt wurde. In einem Beitrag vom Donnerstag dieser Woche erklärte Threat-Trackers Shadowserver, dass sie während der Kampagne zur Ausnutzung der beiden Schwachstellen die Kompromittierung von Palo Alto Networks-Geräten überwacht habe – bis Mittwoch habe das Security-Forscherteam rund 2.000 kompromittierte Instanzen gefunden.

In einer Erklärung, die CRN am Donnerstag zur Verfügung gestellt wurde, bezeichnete ein Sprecher von Palo Alto Networks die Auswirkungen der Kampagne als "begrenzt" und sagte, dass die eigenen Informationen des Unternehmens darauf hindeuten, dass die Shadowserver-Zahl der kompromittierten Geräte zu hoch wäre. "Während wir die genaue Zahl nicht bestätigen können, kann ich Ihnen sagen, dass es eine kleinere Zahl ist", sagte der Sprecher in der Erklärung.

Außerdem wäre nur "ein kleiner Teil der Geräte potentiell angreifbar, da weniger als ein halbes Prozent der von Kunden eingesetzten Palo Alto Networks Firewalls eine Internet-exponierte Verwaltungsschnittstelle haben", heißt es in der Erklärung.

"Gleichzeitig sind wir der Meinung, dass auch nur eine betroffene Firewall eine zu viel ist, und deshalb kommunizieren und posten wir häufig, wenn wir eine potenzielle Schwachstelle sehen“, so die Erklärung von Palo Alto Networks. Ferner bekräftigte der Hersteller, dass man "aktiv mit denjenigen zusammenarbeitet, die möglicherweise betroffen sind".

Schwachstellen in Kombination ausgenutzt

Die Schwachstelle zur Umgehung der Authentifizierung (CVE-2024-0012) wurde mit 9,3 von 10,0 Punkten als kritisch eingestuft, während die Schwachstelle zur Ausweitung von Berechtigungen (CVE-2024-9474) mit 6,9 von 10,0 Punkten als mittelschwer eingestuft wurde. Die beiden Schwachstellen könnten zusammen als Teil eines Angriffs ausgenutzt werden, so Palo Alto Networks in einem online veröffentlichten Hinweis.

Der Authentifizierungs-Bypass-Fehler "ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf das Management-Webinterface, PAN-OS-Administratorrechte zu erlangen, um administrative Aktionen durchzuführen, die Konfiguration zu manipulieren oder andere authentifizierte Privilegien-Erweiterungsschwachstellen wie CVE-2024-9474 auszunutzen", so das Unternehmen.

In einem separaten Beitrag der Abteilung Unit 42 von Palo Alto Networks, der am Mittwoch veröffentlicht wurde, erklärten die Forscher, dass eine "begrenzte Anzahl von Management-Webschnittstellen" als Teil der Kampagne kompromittiert wurde, die sie unter dem Namen "Operation Lunar Peek" verfolgen.

"Das Risiko dieser Probleme wird stark reduziert, wenn Sie den Zugriff auf das Management-Webinterface sichern, indem Sie den Zugriff nur auf vertrauenswürdige interne IP-Adressen gemäß unseren empfohlenen Best-Practice-Einsatzrichtlinien beschränken", so Unit 42 in dem Beitrag.

CVE-2024-0012 betrifft nur PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 und PAN-OS 11.2 auf PA-Series, VM-Series und CN-Series Firewalls sowie auf Panorama (virtuelle und M-Series) und WildFire Appliances, wie es in dem Beitrag heißt. Die Schwachstellen hätten keine Auswirkungen auf Cloud NGFW und Prisma Access, sagte das Unternehmen.

Der Artikel erschien zuerst bei der CRN-Schwesterpublikation CRN USA.