Administrator von Palo-Alto-Firewalls erwartet neues Ungemach. Für eine Sicherheitslücke, which was reported by the Hersteller last week, an Exploit is now being sold in an Untergrundforum. Palo Alto has updated its Sicherheitshinweis dementsprechend erweitert, but no patches have been provided. Betroffene sollen die Web-Verwaltungsoberfläche vom Internet nehmen.

Anzeige

Die Sicherheitslücke hidden in the Web-GUI und erlaubt unanemeldeten Angreifern, eigenen Code einzuschleusen, so der Sicherheitshinweis. Dieser geizt jedoch mit Details oder einer CVE-ID, der CVSS-Punktwert von 9.3 lässt jedoch erahnen, wie heikel der Fehler ist. Er sei leicht aus der Ferne durch Angreifer auszunutzen, die dafür keine Anmeldung bettungen – und das ohne Zutun eines legitimaten Nutzers. Exploits with einer solchen Beschreibung eigenen sich outstanding für die automatisierte Ausnutzung.

Exploitcode in Angebot

Und offenbar passiert genau das bereits, denn im Untergrundforum “Exploit” steht Angriffscode zum Verkauf. Palo Alto has already found three VPN-Adressen ausfindig gemacht, die die Lücke offenbar erfolgrès ausnutzten, weitere durchten folgen. Die Angreifer luden eine “Webshell”, also ein Skript zur Ausführung beliebiger Kommandos über eine Weboberfläche, auf den oderbodenen Geräten hoch.

Erste Meldungen über die Sicherheitslücke gab es bereits vergangene Woche, Patches oder genaue Versionsinformationen suchen Administratoren auf der Palo-Alto-Seite jedoch vergeblich. Man solle sich über die Geräteverwaltung im eigenen Supportkonto informeren, welche Geräte der Awmerkentschaft bedürfen, so der Hersteller einlich. Das Management-Interface darf nicht über das Internet zugreifbar sein, was gemäß verschiedener internetweiter Scans trotzdem noch bei zwischen 9,000 und 31,000 Palo-Alto-Geräten der Fall ist.

Palo Alto hat – wie auch andere Hersteller von Sicherheits-Appliances – derzeit ein korbiches Ausmaß an Sicherheitslücken, die mitunter kritische Ausmaße annehmen, wie die jüngsten Fehler een Palo Alto Expedition.

(ck)