Damit Angreifer Firewalls von Palo Alto erfolgreich ins Visier nehmen könne, müssen sie einige Hürden überwinden. Dennoch ist die Sicherheitslücke als „kritisch“ (CVSS Score 9.8 von 10) eingestuft. Eine gegen solche Attacken abgesicherte Version des Betriebssystems PAN-OS ist verfügbar. Wie man einer Warnmeldung entnehmen kann, ist ausschließlich der Versionsstrang PAN-OS 8.1 von der Lücke (CVE-2021-3064) betroffen. Prisma-Access-Kunden sollen davon nicht bedroht sein. Die Ausgabe 8.1.17 soll Sicherheitspatches enthalten. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar. Palo Alto gibt an, dass sie noch keine Attacken beobachtet haben. Kommt eine verwundbare Version zum Einsatz, muss aber noch das GlobalProtect-Portal oder das Gateway-Interface aktiv sein, damit Angreifer überhaupt an der Schwachstelle ansetzen können, führt Palo Alto aus. Ob das standardmäßig der Fall ist, geht aus der Meldung nicht hervor. Den Status der Einstellungen können Admins über das Web-Interface unter Network/GlobalProtect prüfen. Zusätzlich sollen Attacken nur aus dem Netzwerk möglich sein. Eine Authentifizierung soll nicht notwendig sein. In einem Beitrag führen Sicherheitsforscher von Randori aus, dass Angreifer aufgrund von fehlenden Überprüfungen präparierte Anfragen an Systeme schicken können, um einen Speicherfehler (buffer overflow) auszulösen. Klappt das, sollen Angreifer eigenen Code mit den Rechten der betroffenen Komponente ausführen können. Der Beschreibung in der Warnmeldung zufolge kann das sogar mit Root-Rechten klappen. Ist das der Fall, gelten Geräte in der Regel als vollständig kompromittiert. Randori gibt an, die Lücke bereits im November 2020 entdeckt zu haben. Ab Dezember 2020 haben sie die Schwachstelle eigenen Angaben zufolge auf ihrer Red-Team-Plattform für Sicherheitstests eingesetzt. Dabei sprechen sie von einer „genehmigten Nutzung“. Erst im September 2021 haben sie die Sicherheitslücke Palo Alto gemeldet, die im November den Patch veröffentlicht habe.

Quelle: Heise