Palo Alto warnte ein Jahr nicht vor kritischer VPN-Lücke

Der VPN-Dienst GlobalProtect von Palo Alto hatte offenbar eine kritische Lücke und dies war dem Security-Anbieter auch 2018 schon bekannt. Die Lücke wurde nach übereinstimmenden Berichten mit neuen Versionen auch geschlossen, und zwar im Sommer 2018.Soweit so normal. Nun ist die betreffende Lücke von Palo Alto selbst entdeckt und behoben worden, aber der Identifikator (CVE-2019-1579) stammt aus 2019 und der Security Alert datiert vom 18. Juli 2019 Die Palo-Alto-Kunden konnten also weder von der Lücke, noch vom Patch wissen. Genau diesen empfiehlt Palo Alto nun offiziell, zu patchen.Betroffen sind: PAN-OS 7.1.18 und früher, PAN-OS 8.0.11 und früher sowie PAN-OS 8.1.2 und früher. Version 9 ist nicht betroffen, so die Firma.Warum die Kommunikation jetzt? Weil ebenso unwissende Security-Forscher in einem POC die Lücke kürzlich entdeckten und dem Hersteller meldeten. Aber bei Palo Alto auf taube Ohren stiessen("das ist uns bekannt und gelöst"), worauf die Forscher den POC am 17. Juli publizierten.Ein Kollateralnutzen aus dem Kommunikationsdebakel: Der Security-Forscher Kevin Beaumont meldet in einem Tweet , er habe 30 Prozent verwundbare GlobalProtect-Server gefunden, die ans Internet angebunden seien. Damit weiss die Welt, dass ein erheblicher Anteil der zahlenden GlobalProtect-Kunden 12 Monate lang keine VPN-Updates für ihre Firmennetze machen, ohne dass man sie mit expliziten Warnungen alarmiert.Der GlobalProtect-Kunde, an welchem die Security-Forscher ihren POC erfolgreich bewiesen , heisst übrigens "Uber". Ob der digital als extrem fit geltende Online-Konzern jetzt gehandelt hat, ist unbekannt.Aber nachdem Uber und Tausende weiterer Firmen immerhin gewarnt sind, sollten sie motiviert handeln, denn die "Entdecker" glauben, dass mit der Publikation des POC die kritische Lücke nun rasch ausgenützt werde. Es sei nämlich ziemlich simpel. (mag)