Palo Alto Networks Firewalls von Zero-Day (Bild © Volexity)
Die Zero-Day-Schwachstelle wird mit einem CVSS-Score (Common Vulnerability Scoring System) von maximal 10 bewertet und ermöglicht nicht authentifizierten Angreifern, beliebigen Code mit Root-Rechten auf den betroffenen Systemen aus der Ferne auszuführen.
Laut Unit 42 von Palo Alto Networks betrifft die Sicherheitslücke die Pan-OS Versionen 10.2, 11.0 und 11.1. Damit die Schwachstelle ausgenutzt werden kann, müssen die Telemetriefunktionen und entweder das GlobalProtect Gateway oder das GlobalProtect Portal - oder beide - auf den Firewallsystemen des Herstellers aktiv sein. Cloud Firewalls (NGFW), Panorama Appliances, Prisma Access und ältere Pan-OS Versionen (9.0, 9.1, 10.0 und 10.1) sind jedoch nicht anfällig.
Palo Alto Networks hat am 15. April Hotfixes für CVE-2024-3400 veröffentlicht. Diese Updates sind für die Pan-OS Versionen 10.2.9-h1, 11.0.4-h1 und 11.1.2-h3 verfügbar. Administratoren werden dringend gebeten, diese aktualisierten Versionen umgehend zu installieren oder alternativ die Telemetriefunktion vorübergehend zu deaktivieren, bis ein Update eingespielt werden kann. Außerdem können Abonnenten des Threat Prevention Service potenzielle Angriffe mit der Threat ID 95187 blockieren.
Der Hersteller hat berichtet, dass CVE-2024-3400 bereits von mindestens einer Hackergruppe aktiv ausgenutzt wird und er geht davon aus, dass in Zukunft weitere Angreifer versuchen werden, diese Schwachstelle auszunutzen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA), haben Warnungen vor der aktiven Ausnutzung von CVE-2024-3400 herausgegeben.
In einem ausführlichen Blogbeitrag stellen die Entdecker der Schwachstelle fest, dass der als UTA0218 identifizierte Bedrohungsakteur CVE-2024-3400 nutzt, um eine Reverse Shell auf anfälligen Firewalls zu erstellen und anschließend zusätzliche Tools wie eine Python-Backdoor auf die anvisierten Geräte zu laden. Diese Backdoor ermöglicht es UTA0218, über speziell gestaltete Netzwerkanfragen weitere Befehle auf den Pan-OS-Geräten auszuführen.