Cybersicherheitsexperten haben eine großangelegte Angriffskampagne aufgedeckt, die kritische Schwachstellen in Palo Alto Networks Firewalls ausnutzt. Die Angreifer verwenden dabei zwei neu entdeckte Zero-Day-Vulnerabilitäten, durch die bereits etwa 2000 Systeme weltweit kompromittiert wurden.
Technische Details der Sicherheitslücken
Die erste Schwachstelle (CVE-2024-0012) wurde mit einem kritischen CVSS-Score von 9,3 bewertet und ermöglicht Angreifern eine Authentication-Bypass-Attacke über die PAN-OS Web-Schnittstelle. Dies führt zu unauthorisiertem Administratorzugriff. Die zweite Schwachstelle (CVE-2024-9474) mit einem CVSS-Score von 6,9 erlaubt eine Privilege-Escalation bis hin zu Root-Rechten im Betriebssystem.
Entdeckung und Reaktion der Sicherheitsexperten
Obwohl CVE-2024-9474 erst am 18. November 2024 öffentlich bekannt wurde, hatte Palo Alto Networks seine Kunden bereits Anfang November proaktiv über potenzielle Risiken informiert. Die Sicherheitsforscher bestätigen die Existenz einer funktionierenden Exploit-Chain, die es Angreifern ermöglicht, Malware auf kompromittierten Geräten zu installieren.
Aktuelle Bedrohungslage
Das Shadowserver-Forschungsteam hat mehr als 2700 verwundbare PAN-OS-Systeme im Internet identifiziert. Besonders besorgniserregend ist die Tatsache, dass die Angreifer anonyme VPN-Dienste zur Verschleierung ihrer Aktivitäten nutzen, was die Rückverfolgung und Abwehr erheblich erschwert.
Konkrete Schutzmaßnahmen für Administratoren
Für einen effektiven Schutz der Systeme empfehlen Sicherheitsexperten folgende Maßnahmen:
– Sofortige Installation aller verfügbaren Sicherheitsupdates
– Strikte Zugangsbeschränkung für Management-Interfaces
– Verstärkte Überwachung der Netzwerkaktivitäten
– Implementierung zusätzlicher Sicherheitskontrollen
– Regelmäßige Sicherheitsaudits der Firewall-Konfigurationen
Die aktuelle Situation erfordert unmittelbares Handeln von allen Organisationen, die Palo Alto Networks Produkte einsetzen. Die Kombination aus Authentication-Bypass und Privilege-Escalation stellt eine besonders gefährliche Bedrohung dar. Unternehmen sollten die empfohlenen Sicherheitsmaßnahmen umgehend umsetzen und ihre Netzwerk-Monitoring-Systeme auf verdächtige Aktivitäten überprüfen. Eine Verzögerung bei der Implementierung der Sicherheitsupdates könnte schwerwiegende Folgen für die gesamte IT-Infrastruktur haben.
