Das BSI warnt: Das Betriebssystem PAN-OS hat eine eklatante, kritische Schwachstelle die mit dem CVSS-Wert 10.0 von 10 eingestuft wurde. Unternehmen sollten sofort handeln und kommende Patches einspielen oder die verfügbaren Workarounds nutzen.
Laut BSI – dem Bundesamt für Sicherheit in der Informationstechnik, veröffentlichte am 12. April 2024 das Unternehmen Palo Alto Networks ein Advisory zu einer aktiv ausgenutzten Schwachstelle in PAN-OS, dem Betriebssystem der Firewalls des Herstellers. Bei der Sicherheitslücke mit der Kennung CVE-2024-3400 handelt es sich um eine OS Command Injection im GlobalProtect Gateway Feature, die einem unauthentifizierten Angreifenden aus der Ferne das Ausführen von Code mit Root-Rechten auf der Firewall ermöglicht. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem höchsten Wert 10.0 („kritisch“; CVSS 4.0) bewertet.
Betroffene Firewalls und Betriebssysteme
Betroffen von der Schwachstelle CVE-2024-3400 sind Firewalls mit:
- PAN-OS 11.1 mit Version < 11.1.2-h3
- PAN-OS 11.0 mit Version < 11.0.4-h1
- PAN-OS 10.2 mit Version < 10.2.9-h1
mit konfiguriertem GlobalProtect Gateway und aktiviertem Telemetrie-Feature.
Sollte eine der genannten Konfigurationen nicht aktiviert sein, so ist keine Ausnutzung möglich. Die älteren Versionen von PAN-OS (10.1, 10.0, 9.1 und 9.0), die Cloud-Lösung NGFW, Panorama Appliances und Prisma Access sind nicht betroffen!
Die Patches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) sollen nach Angaben im Advisory voraussichtlich am 14. April 2024 veröffentlicht werden. Palo Alto Networks gibt an, eine begrenzte Anzahl an Angriffen mittels dieser Schwachstelle beobachtete zu haben.
Schnelle Maßnahmen und Workarounds
Zum aktuellen Zeitpunkt stehen noch keine Patches zur Verfügung. Diese sollen aber wahrscheinlich ab dem 14. April 2024 zur Verfügung stehen.
Betreiber sollten schnell prüfen, ob Sie von der Schwachstelle betroffen sind. Dazu kann in der Weboberfläche unter Network > GlobalProtect > Gateways geprüft werden, ob „GlobalProtect Gateway“ konfiguriert sowie unter Device > Setup > Telemetry, ob das Telementrie-Feature aktiviert ist. Sollte dies der Fall sein, so ist einer der von Palo Alto empfohlenen Workarounds dringend unzusetzen.
Workaround 1
Institutionen sollten das Telemetrie-Feature an betroffenen Geräten deaktivieren, bis die Version von PAN-OS aktualisiert wird. Nach der Installation des Updates muss die Telemetrie-Option manuell wieder aktiviert werden.
Workaround 2
Institutionen, die Palo Altos Threat Prevention-Dienstleistung nutzen, können Angriffe durch Aktivierung der Threat ID 95187 blockieren. Zusätzlich muss die Vulnerability Protection auf dem GlobalProtect Interface aktiviert werden.
Wurde die Firewall bereits angegriffen?
Zur Prüfung, ob die Firewall bereits kompromittiert wurde, gibt Palo Alto Networks im Customer Support Portal (CSP) die Möglichkeit, ein „technical support file“ (TSF) hochzuladen und damit auf eine Ausnutzung der Schwachstelle prüfen zu lassen.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.