In Palo Alto Networks Firewalls gibt es eine ungepatchte Sicherheitslücke (CVE-2024-3400), die in bestimmten Szenarien ausgenutzt werden kann und auch aktiv ausgenutzt wird. Nachdem der Hersteller bereits einen Sicherheitshinweise veröffentlichte und Leser mich darauf hinwiesen, hat auch das BSI (CERT-Bund) heute einen Sicherheitshinweis herausgegeben – Administratoren müssen reagieren und Maßnahmen zur Absicherung ergreifen.
Erste Hinweise kamen von Blog-Leser Indy (danke dafür) in diesem Kommentar, nachdem Palo Alto bereits beim Login auf die Firewalls und per E-Mail über eine Schwachstelle informiert. Für die Sicherheitslücke in den Palo Alto Firewalls soll erst am Sonntag ein Patch veröffentlicht werden. Die Lücke soll wohl bereits stellenweise ausgenutzt werden. Inzwischen warnt auch das BSI (CERT-Bund) in nachfolgendem Tweet und dieser Sicherheitswarnung Version 1.0: Palo Alto Networks Firewalls: Aktive Ausnutzung einer ungepatchten Schwachstelle.
Palo Alto Networks hat zum 12. April 2024 die Sicherheitswarnung zur Schwachstelle CVE-2024-3400 veröffentlicht. In PAN-OS, dem Betriebssystem der Firewalls des Herstellers, gibt es eine Command Injection-Schwachstelle in der GlobalProtect-Funktion. Die Schwachstelle betrifft bestimmte PAN-OS-Versionen und bestimmte Funktionskonfigurationen von Palo Alto Networks und kann einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code mit Root-Rechten auf der Firewall ermöglichen. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem höchsten Wert 10.0 („kritisch“; CVSS 4.0) bewertet.
Die Patches für die PAN-OS-Versionen (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) sind in Entwicklung und werden nach Angaben im Advisory voraussichtlich am 14. April 2024 veröffentlicht. Palo Alto Networks gibt an, eine begrenzte Anzahl an Angriffen mittels dieser Schwachstelle beobachtete zu haben. Dieses Problem betrifft nur die Firewalls PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1, bei denen sowohl GlobalProtect-Gateway als auch Gerätetelemetrie aktiviert sind. Administratoren können überprüfen, ob ein GlobalProtect-Gateway konfiguriert ist. Dazu ist nach Einträgen in der Firewall-Webschnittstelle zu suchen (Netzwerk > GlobalProtect > Gateways) und zu überprüfen, ob die Gerätetelemetrie aktiviert ist. Dies lässt sich über die Firewall-Webschnittstelle überprüfen (Gerät > Setup > Telemetrie).
Cloud NGFW, Panorama Appliances und Prisma Access sind von dieser Sicherheitslücke nicht betroffen. Alle anderen Versionen von PAN-OS sind ebenfalls nicht betroffen.
Gerät > Setup > Telemetri
Update im Palo Alto CVE, Geräte sind unabhängig von der Telemetrie Funktion angreifbar. Also immer Patchen nicht nur Telemetrie abschalten.
Es wurde das CVE-Dokument erweitert:
https://security.paloaltonetworks.com/CVE-2024-3400
Mittlerweile gibt es auch IoCs:
https://unit42.paloaltonetworks.com/cve-2024-3400/
https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/