Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

15. April 2024 um 11:51
  • security
  • Palo Alto
  • Netzwerk
  • International
  • Lücke
image
Campus von Palo Alto in Santa Clara. Foto: Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

Die Abteilung Unit 42 des Netz­werk­sicher­heit­sunter­nehmens Palo Alto hat nach Hinweisen des Cyber­security-Anbieters Volexity eine Zero-Day-Schwachstelle in der PAN-OS-Software des Unternehmens entdeckt und publik gemacht. Gemäss den beteiligten Sicher­heits­expertinnen und -experten wurde die kritische Lücke mit dem höchsten CVSS Score von 10 zuvor bereits während fast drei Wochen von Angreifern ausgenutzt.
So sagte das Unternehmen selbst: "Eine Befehlsinjektionsschwachstelle in der Globalprotect-Funktion der PAN-OS-Software von Palo Alto Networks für bestimmte PAN-OS-Versionen und bestimmte Funktionskonfigurationen kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code mit Root-Rechten auf der Firewall auszuführen."
Die Schwachstelle (CVE-2024-3400) betrifft Firewall-Konfigurationen in den PAN-OS-Versionen 10.2, 11.0 und 11.1, bei denen Globalprotect Gateway und Gerätetelemetrie aktiviert sind. Bei diesen können Angreifer über die Schwach­stelle eine automatisierte wiederkehrende Aufgabe erstellen, die dann jede Minute ausgeführt wird und neue Befehle, die auf einem externen Server gehostet werden, abrufen kann.

Palo Alto stellt Hotfixes bereit

Ein Blogbeitrag von Volexity zeigt, wie die Hacker die Schwachstelle ausnutzen und eine Backdoor installieren konnten, um in interne Netzwerke einzudringen und Daten zu stehlen. Weil die Lücke aktiv angegriffen wurde, beschloss Palo Alto, diese offenzulegen. Das Unternehmen empfiehlt Abhilfemassnahmen und stellt erste Hotfixes zur Verfügung.
Betroffenen Unternehmen wird empfohlen, in ihren internen Netzwerken auf Anzeichen für Seitwärtsbewegungen von ihren Globalprotect-Firewall-Geräten aus zu achten. Dazu hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine entsprechende Warnung dazu herausgegeben und zum Patchen aufgefordert.

Python-basierte Hintertür

Gemäss Volexity haben die Angreifer eine manuelle Zugriffskontrollliste (ACL) für den Command-and-Control-Server erstellt, um damit stets sicher­zu­stellen, dass der Zugriff nur von einem Gerät möglich war, das mit dem Server kommunizierte. Während die genaue Art des Befehls nicht bekannt ist, wird vermutet, dass die URL als Übertragungsweg für eine Python-basierte Hintertür auf der Firewall diente.
Die Python-Datei soll dabei zum Schreiben und Starten eines weiteren Python-Skripts verwendet worden sein, das anschliessend die eingebettete Hintertür entschlüsselte und ausführte. Wie es im Blog heisst, ist der interessanteste Aspekt der Angriffskette, dass es sich bei den Dateien, die zum Extrahieren der Befehle und zum Schreiben der Ergebnisse verwendet werden, um legitime Dateien handelte, die mit der Firewall verbunden waren.

Raffinierte Hacker

Unit 42 schreibt dazu: "Die Wiederherstellungsfunktion nimmt den ursprünglichen Inhalt der Datei sowie die ursprünglichen Zugriffs- und Änderungszeiten, schläft 15 Sekunden lang und schreibt den ursprünglichen Inhalt zurück in die Datei und setzt die Zugriffs- und Änderungszeiten auf ihre Originale." Damit möchten die Angreifer verhindern, dass sie Spuren hinterlassen.
"Die Vorgehensweise und die Geschwindigkeit, die die Angreifer an den Tag legen, lässt darauf schliessen, dass es sich um einen sehr fähigen Angreifer handelt, der über ein klares Playbook verfügt", schreibt Volexity. Das Unternehmen hat dem Angreifer den Namen UTA0218 gegeben. Das genaue Ausmass der Kampagne gegen die Zero-Day-Schwachstelle sei derzeit aber noch unklar.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Machen xAI und Oracle bei KI gemeinsame Sache?

Gerüchten zufolge will das KI-Startup von Elon Musk GPU-Server bei Oracle mieten. Dafür sollen 10 Milliarden Dollar fliessen.

publiziert am 15.5.2024
image

AWS-CEO Adam Selipsky tritt zurück

Die Cloud-Sparte von Amazon erhält mit Matt Garman einen neuen CEO. Er ist bereits seit fast 20 Jahren beim Unternehmen tätig.

publiziert am 14.5.2024