Datum der Enthüllung: 8. November (CVE-2024-0012) und 18. November 2024 (CVE-2024-9474)
Datum der Aufnahme in die CISA KEV: N/A
Am 8. November veröffentlichte Palo Alto Networks einen Hinweis auf CVE-2024-0012veröffentlicht, eine kritische Schwachstelle bei der Ausführung von Remotecode (RCE), die PAN-OS betrifft, das zugrunde liegende Betriebssystem für Palo Alto Networks Firewall- und VPN-Appliances. Es handelt sich um einen Authentifizierungsumgehungsfehler, der es einem nicht authentifizierten Angreifer mit Zugriff auf die Verwaltungsweboberfläche ermöglicht, Administratorrechte zu erlangen.
Heute, am 18. November, veröffentlichte der Hersteller einen weiteren Hinweis auf eine verwandte, aber weniger schwerwiegende Sicherheitslücke, die auch PAN-OS betrifft, CVE-2024-9474Es handelt sich um einen Fehler bei der Eskalation authentifizierter Privilegien, der es unbefugten Benutzern unter bestimmten Bedingungen ermöglichen könnte, erhöhte Privilegien zu erlangen.
Diese beiden Schwachstellen können miteinander verkettet werden, wobei CVE-2024-0012 den anfänglichen administrativen Zugriff ermöglicht, der dann zur Ausnutzung von CVE-2024-9474 oder zur Durchführung anderer Aktionen nach der Ausnutzung genutzt werden kann.
Ausbeutung und IoCs
Zum Zeitpunkt der Erstellung dieses Berichts ist keine der beiden Schwachstellen in CISA KEV enthalten, aber Referat 42 hat eine begrenzte Anzahl von Ausnutzungsaktivitäten in Bezug auf CVE-2024-0012. Sie veröffentlichten mehrere Indikatoren für eine Kompromittierung, darunter verschiedene IP-Adressen von Bedrohungsakteuren und die folgende PHP-Webshell-Nutzlast, die auf einer kompromittierten Firewall abgelegt wurde:
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668
Referat 42 stellte außerdem fest, dass diese IPs zwar identifiziert wurden, als sie versuchten, Verwaltungsschnittstellen zu scannen und/oder sich mit ihnen zu verbinden, dass aber viele von ihnen dafür bekannt sind, Datenverkehr für anonyme VPN-Dienste zu projizieren/tunneln, was legitime Benutzeraktivitäten beinhalten kann, die von diesen IPs zu anderen Zielen führen.
PAN-OS wird in vielen Bereichen wie kritischen Infrastrukturen, Finanzdienstleistungen und Regierungsbehörden eingesetzt. Daher ist diese Schwachstelle für alle Unternehmen, die auf Geräte von Palo Alto Networks angewiesen sind, besonders besorgniserregend. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können Angreifer die volle Kontrolle über die betroffenen Systeme erlangen, wodurch sie möglicherweise Netzwerkkonfigurationen ändern, auf sensible Daten zugreifen und weitere Kompromittierungen des Netzwerks ermöglichen können.
Unternehmen, die insbesondere die PAN-OS-Versionen 10.2, 11.0, 11.1 und 11.2 verwenden, wird empfohlen, die Patches sofort anzuwenden oder den Zugang gemäß den Hinweisen des Herstellers einzuschränken. PAN-OS-Versionen 10.2 und höher sind nicht betroffen, ebenso wenig wie Cloud NGFW oder Prisma Access
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-0012 - CVSS 9.3 (Kritisch) zugewiesen von Palo Alto Networks |
CVE-2024-9474 - CVSS 6.9 (Mittel) zugewiesen von Palo Alto Networks |
| Schwachstelle Beschreibung |
Umgehung der Authentifizierung Schwachstelle in PAN-OS kann unauthentifizierte Remotecodeausführung ermöglichen. |
Privilegienerweiterung Schwachstelle in PAN-OS ermöglicht es einem Administrator mit Zugriff auf die Verwaltungsweboberfläche, Aktionen auf der Firewall mit Root-Rechten durchzuführen. |
| Datum der Offenlegung |
8. November 2024 |
18. November 2024 |
| Betroffene Vermögenswerte |
PAN-OS-Software von Palo Alto Networks (für die Firewall- und VPN-Geräte des Unternehmens) |
| Anfällige Software-Versionen |
PAN-OS 10.2, 11.0, 11.1 und 11.2 |
PAN-OS 10.1, 10.2, 11.0, 11.1 und 11.2 |
| PoC verfügbar? |
Nein, zum Zeitpunkt der Erstellung dieses Berichts |
| Verwertungsstatus |
Aktiv ausgenutzt. Palo Alto hat Angriffe beobachtet, die auf über das Internet zugängliche Firewall-Management-Schnittstellen abzielen. In ihrem Advisory heißt es: "Zum jetzigen Zeitpunkt gehen wir davon aus, dass Geräte, deren Zugang zur Verwaltungsschnittstelle nicht gemäß den von uns empfohlenen Best-Practice-Richtlinien gesichert ist, einem erhöhten Risiko ausgesetzt sind." |
Diese Sicherheitslücke kann ausgenutzt werden, nachdem CVE-2024-0012 verwendet wurde, um Root-Rechte zu erlangen, obwohl bisher keine spezifischen Bedrohungsaktivitäten im Zusammenhang mit diesem Szenario gemeldet wurden. |
| Patch-Status |
Patches für betroffene Versionen verfügbar. Siehe Palo Alto Networks' Hinweis für Einzelheiten. |
Patches für betroffene Versionen verfügbar. Siehe Palo Alto Networks' Hinweis für Einzelheiten. |
Censys Blickwinkel
Der Hersteller stellte fest, dass PAN-OS-Geräte, deren Management-Schnittstellen so konfiguriert sind, dass sie dem öffentlichen Internet ausgesetzt sind, am stärksten gefährdet sind. Censys hat Folgendes festgestellt 13.324 öffentlich zugängliche NGFW-Management-Schnittstellen. Ein großer Teil davon (34%) befinden sich in den Vereinigten Staaten. Censys beobachtete etwa 8% der gefährdeten Instanzen mit Amazon (ASN 16509) in Verbindung gebracht werden. Beachten Sie, dass nicht alle dieser Instanzen unbedingt anfällig sind, da keine spezifischen Geräteversionen verfügbar sind.
Karte der exponierten Verwaltungsschnittstellen:
Es wird empfohlen, betroffene Systeme auf PAN-OS 10.2 zu aktualisieren und die öffentliche Internetpräsenz der Firewall-Verwaltungsschnittstelle zu begrenzen. Um alle exponierten Palo Alto Management-Schnittstellen in Ihrem Netzwerk unabhängig von der PAN-OS-Version zu identifizieren, können die folgenden Censys Abfragen verwendet werden:
Censys Search Abfrage:
services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and services.http.response.html_title=“Login”
Censys ASM-Abfrage:
(host.services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and host.services.http.response.html_title="Login") or (web_entity.instances.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and web_entity.instances.http.response.html_title="Login")
Referenzen
