Die Abteilung Unit 42 des Netz­werk­sicher­heit­sunter­nehmens Palo Alto hat nach Hinweisen des Cyber­security-Anbieters Volexity eine Zero-Day-Schwachstelle in der PAN-OS-Software des Unternehmens entdeckt und publik gemacht. Gemäss den beteiligten Sicher­heits­expertinnen und -experten wurde die kritische Lücke mit dem höchsten CVSS Score von 10 zuvor bereits während fast drei Wochen von Angreifern ausgenutzt.

So sagte das Unternehmen selbst: "Eine Befehlsinjektionsschwachstelle in der Globalprotect-Funktion der PAN-OS-Software von Palo Alto Networks für bestimmte PAN-OS-Versionen und bestimmte Funktionskonfigurationen kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code mit Root-Rechten auf der Firewall auszuführen."

Die Schwachstelle (CVE-2024-3400) betrifft Firewall-Konfigurationen in den PAN-OS-Versionen 10.2, 11.0 und 11.1, bei denen Globalprotect Gateway und Gerätetelemetrie aktiviert sind. Bei diesen können Angreifer über die Schwach­stelle eine automatisierte wiederkehrende Aufgabe erstellen, die dann jede Minute ausgeführt wird und neue Befehle, die auf einem externen Server gehostet werden, abrufen kann.

Ein Blogbeitrag von Volexity zeigt, wie die Hacker die Schwachstelle ausnutzen und eine Backdoor installieren konnten, um in interne Netzwerke einzudringen und Daten zu stehlen. Weil die Lücke aktiv angegriffen wurde, beschloss Palo Alto, diese offenzulegen. Das Unternehmen empfiehlt Abhilfemassnahmen und stellt erste Hotfixes zur Verfügung.

Betroffenen Unternehmen wird empfohlen, in ihren internen Netzwerken auf Anzeichen für Seitwärtsbewegungen von ihren Globalprotect-Firewall-Geräten aus zu achten. Dazu hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine entsprechende Warnung dazu herausgegeben und zum Patchen aufgefordert.

Gemäss Volexity haben die Angreifer eine manuelle Zugriffskontrollliste (ACL) für den Command-and-Control-Server erstellt, um damit stets sicher­zu­stellen, dass der Zugriff nur von einem Gerät möglich war, das mit dem Server kommunizierte. Während die genaue Art des Befehls nicht bekannt ist, wird vermutet, dass die URL als Übertragungsweg für eine Python-basierte Hintertür auf der Firewall diente.

Die Python-Datei soll dabei zum Schreiben und Starten eines weiteren Python-Skripts verwendet worden sein, das anschliessend die eingebettete Hintertür entschlüsselte und ausführte. Wie es im Blog heisst, ist der interessanteste Aspekt der Angriffskette, dass es sich bei den Dateien, die zum Extrahieren der Befehle und zum Schreiben der Ergebnisse verwendet werden, um legitime Dateien handelte, die mit der Firewall verbunden waren.

Unit 42 schreibt dazu: "Die Wiederherstellungsfunktion nimmt den ursprünglichen Inhalt der Datei sowie die ursprünglichen Zugriffs- und Änderungszeiten, schläft 15 Sekunden lang und schreibt den ursprünglichen Inhalt zurück in die Datei und setzt die Zugriffs- und Änderungszeiten auf ihre Originale." Damit möchten die Angreifer verhindern, dass sie Spuren hinterlassen.

"Die Vorgehensweise und die Geschwindigkeit, die die Angreifer an den Tag legen, lässt darauf schliessen, dass es sich um einen sehr fähigen Angreifer handelt, der über ein klares Playbook verfügt", schreibt Volexity. Das Unternehmen hat dem Angreifer den Namen UTA0218 gegeben. Das genaue Ausmass der Kampagne gegen die Zero-Day-Schwachstelle sei derzeit aber noch unklar.