Eine kritische PAN-OS-Zero-Day-Schwachstelle wird aktiv gegen Firewalls von Palo Alto Networks ausgenutzt und setzt Unternehmen sowie Behörden einem unmittelbaren Risiko aus. Sicherheitsforscher warnten davor, dass Angreifer die Schwachstelle missbrauchen können, um Remote-Code-Ausführung mit Root-Rechten zu erlangen. Betroffen sind internetexponierte PAN-OS-Geräte mit aktivierter Captive-Portal-Funktion.
Die Angriffe haben bereits Besorgnis in Unternehmens- und Regierungsumgebungen ausgelöst, die Palo Alto Networks-Geräte zur Perimetersicherheit einsetzen.
Kritische Schwachstelle ermöglicht Remote-Code-Ausführung
Die PAN-OS-Zero-Day-Schwachstelle betrifft Firewalls der PA-Series und VM-Series mit anfälligen PAN-OS-Versionen. Laut Forschern können Angreifer speziell präparierte Anfragen an verwundbare Systeme senden und ohne Authentifizierung Schadcode aus der Ferne ausführen.
Die Schwachstelle zielt auf das User-ID Authentication Portal ab, das allgemein als Captive-Portal-Funktion bekannt ist. Systeme, die direkt mit dem Internet verbunden sind, tragen das höchste Risiko.
Palo Alto Networks bestätigte, dass Angreifer die Schwachstelle bereits in begrenzten realen Angriffen ausnutzen. Das Unternehmen stufte das Problem als kritisch ein, da eine erfolgreiche Ausnutzung Root-Zugriff auf betroffene Geräte ermöglicht.
Sicherheitsteams warnten davor, dass kompromittierte Firewalls Angreifern einen direkten Zugang zu internen Unternehmensnetzwerken verschaffen können. Sobald Angreifer die Kontrolle über ein Perimetergerät übernehmen, können sie Datenverkehr überwachen, Zugangsdaten stehlen und sich tiefer in Unternehmensumgebungen bewegen.
Forscher vermuten fortgeschrittene Bedrohungsakteure
Mehrere Sicherheitsforscher gehen davon aus, dass die Angriffe Anzeichen hochentwickelter Bedrohungsaktivitäten zeigen. Begrenzte und gezielte Ausnutzung deutet häufig auf die Beteiligung leistungsfähiger Cyber-Spionagegruppen hin.
Obwohl Palo Alto Networks die Angriffe bislang keiner bestimmten Gruppe offiziell zugeordnet hat, stellten Analysten Ähnlichkeiten zu früheren Kampagnen mit staatlich unterstützten Akteuren fest. Edge-Sicherheitsgeräte bleiben attraktive Ziele für fortgeschrittene Angreifer, da sie zwischen Organisationen und dem öffentlichen Internet stehen.
Firewalls sind während jüngster Cyber-Spionagekampagnen zu wertvollen Zielen geworden, weil sie oft dauerhaften Zugriff auf sensible Netzwerke ermöglichen.
Organisationen sollen Schutzmaßnahmen umsetzen
Palo Alto Networks forderte Administratoren dazu auf, den Zugriff auf die Captive-Portal-Funktion sofort einzuschränken. Organisationen sollten die Erreichbarkeit auf vertrauenswürdige interne IP-Adressen begrenzen oder die Funktion deaktivieren, bis Sicherheitsupdates verfügbar sind.
Das Unternehmen erklärte, dass Prisma Access, Panorama und Cloud-NGFW-Produkte nicht von der Schwachstelle betroffen sind.
Forscher empfahlen Organisationen außerdem, Firewall-Protokolle auf ungewöhnliche Aktivitäten zu überwachen, Authentifizierungsereignisse zu überprüfen und verdächtige ausgehende Verbindungen zu untersuchen.
Fazit
Die PAN-OS-Zero-Day-Angriffe verdeutlichen die wachsende Gefahr für internetexponierte Sicherheitsgeräte. Angreifer konzentrieren sich weiterhin auf Firewalls, da eine erfolgreiche Ausnutzung Zugriff auf komplette Unternehmensnetzwerke ermöglichen kann. Bis offizielle Sicherheitsupdates verfügbar sind, sollten Organisationen mit betroffenen PAN-OS-Geräten Schutzmaßnahmen priorisieren und ihre Umgebungen sorgfältig auf Anzeichen einer Kompromittierung überwachen.
0 Kommentare zu „PAN-OS Zero-Day-Schwachstelle wird bei aktiven Firewall-Angriffen ausgenutzt“