Palo Alto warnte ein Jahr nicht vor kritischer VPN-Lücke

23. Juli 2019, 12:28
  • security
  • uber
  • palo alto
  • cyberangriff
  • lücke
image

Der VPN-Dienst GlobalProtect von Palo Alto hatte offenbar eine kritische Lücke und dies war dem Security-Anbieter auch 2018 schon bekannt.

Der VPN-Dienst GlobalProtect von Palo Alto hatte offenbar eine kritische Lücke und dies war dem Security-Anbieter auch 2018 schon bekannt. Die Lücke wurde nach übereinstimmenden Berichten mit neuen Versionen auch geschlossen, und zwar im Sommer 2018.
Soweit so normal. Nun ist die betreffende Lücke von Palo Alto selbst entdeckt und behoben worden, aber der Identifikator (CVE-2019-1579) stammt aus 2019 und der Security Alert datiert vom 18. Juli 2019.
Die Palo-Alto-Kunden konnten also weder von der Lücke, noch vom Patch wissen. Genau diesen empfiehlt Palo Alto nun offiziell, zu patchen.
Betroffen sind: PAN-OS 7.1.18 und früher, PAN-OS 8.0.11 und früher sowie PAN-OS 8.1.2 und früher. Version 9 ist nicht betroffen, so die Firma.
Warum die Kommunikation jetzt? Weil ebenso unwissende Security-Forscher in einem POC die Lücke kürzlich entdeckten und dem Hersteller meldeten. Aber bei Palo Alto auf taube Ohren stiessen ("das ist uns bekannt und gelöst"), worauf die Forscher den POC am 17. Juli publizierten.
Ein Kollateralnutzen aus dem Kommunikationsdebakel: Der Security-Forscher Kevin Beaumont meldet in einem Tweet, er habe 30 Prozent verwundbare GlobalProtect-Server gefunden, die ans Internet angebunden seien. Damit weiss die Welt, dass ein erheblicher Anteil der zahlenden GlobalProtect-Kunden 12 Monate lang keine VPN-Updates für ihre Firmennetze machen, ohne dass man sie mit expliziten Warnungen alarmiert.
Der GlobalProtect-Kunde, an welchem die Security-Forscher ihren POC erfolgreich bewiesen, heisst übrigens "Uber". Ob der digital als extrem fit geltende Online-Konzern jetzt gehandelt hat, ist unbekannt.
Aber nachdem Uber und Tausende weiterer Firmen immerhin gewarnt sind, sollten sie motiviert handeln, denn die "Entdecker" glauben, dass mit der Publikation des POC die kritische Lücke nun rasch ausgenützt werde. Es sei nämlich ziemlich simpel. (mag)

Loading

Mehr zum Thema

image

Cyber-Angriffe: Einer ernst zu nehmende Gefahr erfolgreich begegnen und ihre Auswirkungen begrenzen

«Sie wurden gehackt und wir sind im Besitz sensibler Daten Ihres Unternehmens. Bei ausbleibender Lösegeldzahlung werden wir die Daten im Darknet zum Verkauf anbieten!»

image

Cambridge Analytica: US-Ermittler klagen Zuckerberg an

Der Konzernchef sei "direkt an Entscheidungen beteiligt gewesen", die zum Skandal geführt hatten, argumentiert der Generalstaatsanwalt.

publiziert am 24.5.2022
image

"Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen"

Pascal Lamia, Leiter der operativen Cybersicherheit im Nationalen Security-Zentrum (NCSC), erläutert im Interview die Bedrohungslage in der Schweiz. Und warum er eine Meldepflicht von Hacks für sinnvoll hält.

Von publiziert am 24.5.2022
image

BÜPF-Verordnungen laut Kanton Aargau "schwer verständlich"

Der ÜPF sagt: Das ist ja klar, das ist schliesslich auch kein einfaches Thema.

publiziert am 24.5.2022 1