[English]In den Firewalls von Palo Alto Networks soll eine ungepatchte Schwachstelle existieren. Über diese Schwachstelle kann auf das Management Interface zugegriffen werden. Das wird wohl bereits für Angriffe ausgenutzt. Sowohl das BSI als auch die US-Behörde CISA warnen: Kunden sollten unverzüglich ihre Firewalls absichern.
Warnung vor Schwachstelle
Die Warnung vor einer ungepatchten Schwachstelle in den Firewalls von Palo Alto Networks findet sich an mehreren Stellen im Internet. Mir ist die nachfolgende Warnung des BSI, die im Artikel Palo Alto Networks Firewalls – Zero-Day Angriffe auf Management Interface beobachtet präzisiert wird, am gestrigen 15.11.2024 aufgefallen.
Der Hersteller hatte in einem Security Advisory vor einigen Tagen zuvor eine mögliche Gefährdung durch eine Sicherheitslücke in seinem Firewall-Management Interface bekanntgegeben. Die US-Behörde CISA warnt in diesem Tweet und verweist auf den Schwachstellenkatalog mit ausgenutzten Sicherheitslücken.
Die Schwachstelle CVE-2024-9463
Im Palo Alto Networks Expedition OS gibt es eine Command Injection-Schwachstelle CVE-2024-9463 (CVSSv4.0 Base Score: 9.3), die es einem nicht authentifizierten Angreifer ermöglicht, beliebige Betriebssystembefehle als root in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartextpasswörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS-Firewalls führt.
Warnung vor Angriffen
Am 14. November 2024 hat Palo Alto Networks dann sein Security Advisory aktualisiert. Der Hersteller weist nun darauf hin, dass inzwischen Angriffe auf verwundbare Geräte stattfinden. Demnach habe man eine begrenzte Anzahl an Attacken auf Firewalls, deren Management Interface im Internet erreichbar ist, bestätigen können. Die Dringlichkeit des Sachverhalts wurde daher auf die höchste Stufe angehoben.
Zum aktuellen Zeitpunkt gibt der Hersteller keine Details über die betroffenen Versionen bzw. Geräte an. Es sollen jedoch alle Modelle, die das Management Interface nicht nach Best Practices absichern und daher nach außen exponieren, potentiell gefährdet sein.
Hinweise, was man zur Absicherung machen soll (das Management Interface von der Erreichbarkeit per Internet abschotten), finden sich im Security Advisory. Palo Alto Networks hat zudem das Dokument Tips & Tricks: How to Secure the Management Access of Your Palo Alto Networks Device mit Hinweisen zur Absicherung verlinkt. Administratoren sollten also unverzüglich handeln.
Weshalb setzt man das Management Interface bitteschön über das Internet erreichbar… sorry aber sowas gehört bestraft!
Das ist ja in etwa so als wenn man russisch Roulette anstatt mit einem Revolver mit einer Pistole spielt. Absolut dämlich!
„Demnach habe man eine begrenzte Anzahl an Attacken auf Firewalls, deren Management Interface im Internet erreichbar ist, bestätigen können.“
Ehrlich, wer sowas macht, der sollte sein Konzept mal überdenken….
Edit: Wobei Portale von Firwalls im Internet mittlerweile ja durchaus üblich sind, damit die User eigenständig ihre MFAs verwalten können. Wobei ich dann eher auf MFA verzichten würde…