Security-Breaches bei Firewall-Geräten von Palo Alto Networks

B2B Cyber Security ShortNews

Beitrag teilen

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. Dieses Betriebssystem, wird auf deren Firewall-Geräten genutzt. Einen Tag später veröffentlichte watchTowr einen Report mit technischen Details darüber, wie die beiden Schwachstellen miteinander verknüpft werden können, um eine Remotecodeausführung dieser Schwachstellen zu erreichen.

Bereits einige Stunden nach der Veröffentlichung des watchTowr-Reports beobachtete Arctic Wolf Labs mehrere Angriffe, die Palo Alto Networks-Geräte betrafen. Aufgrund des engen zeitlichen Zusammenhangs mit der Veröffentlichung des watchTowr-Reports und zusätzlicher von Arctic Wolf Labs geprüfter Beweise geht Arctic Wolf mit mittlerer Wahrscheinlichkeit davon aus, dass bei diesen Einbrüchen CVE-2024-0012 in Verbindung mit CVE-2024-9474 für den Erstzugang ausgenutzt wurde. Weitere wichtige Erkenntnisse von Arctic Wolf:

Anzeige
  • Betroffene Geräte lösten Downloads über HTTP aus, darunter das Sliver C2-Framework, Coinminer Binaries und verschiedene andere Payloads.
  • Es gibt Hinweise darauf, dass die Bedrohungsakteure die kürzlich bekannt gewordenen PAN-OS-Schwachstellen CVE-2024-0012 und CVE-2024-9474 ausgenutzt haben, um sich einen ersten Zugang zu verschaffen.
  • Die Überwachung von Firewall-Protokollen auf Nutzernamen mit ungewöhnlichen Zeichen bietet eine Möglichkeit zur frühzeitigen Erkennung von Kill Chains.

„Die beiden Sicherheitslücken CVE-2024-0012 und CVE-2024-9474 im Betriebssystem von Palo Alto Networks sind ein Beispiel für die Möglichkeiten, die sich Cyberkriminellen durch die Verkettung zweier ungepatchter Sicherheitslücken bieten. Da sich die Hacker-Community ständig weiterentwickelt und neue Taktiken, Techniken und Verfahren (TTPs) mit innovativen Tools kombiniert, müssen Lücken in Systemen umgehend aufgespürt und geschlossen werden.

Die bisher gemeldeten Aktivitäten der Bedrohungsakteure sind lediglich ein Bruchteil dessen, was die möglichen Folgen dieser Beobachtungen sein könnten. Wir wissen, dass Cyberkriminelle vor nichts zurückschrecken, um mit allen Mitteln in Unternehmenssysteme einzudringen und von ähnlichen Bedrohungen zu profitieren. Die Unternehmen müssen daher schnell reagieren, um sich und ihre Kunden zu schützen.“ (Keri Shafer-Page, VP of Incident Response bei Arcitic Wolf)

Mehr bei ArcticWolf.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Cybersecurity: Zugriff auf umfangreiche Bedrohungsdaten

Die Erweiterung der Arctic Wolf Security Operations Platform Aurora bietet Unternehmen Zugriff auf die Bedrohungsdaten ihres eigenen großen Security Operation ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen