Ungepatchte Sicherheitslücken

Cyberangriffe auf Palo Alto Networks Firewall-Geräte

Sicherheitslücke, palo alto firewall angriff, palo alto firewall sicherheitslücke, palo alto network firewall, Palo Alto Network, Firewall
Bildquelle: viewimage / Shutterstock.com
LinkedInRedditWhatsAppPocket

Mehrere Security-Breaches wurden bei Unternehmen aus unterschiedlichen Branchen beobachtet, an denen Firewall-Geräte von Palo Alto Network beteiligt waren.

Zwei Schwachstellen in Palo Alto Networks OS (PAN-OS)

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. Dieses Betriebssystem, wird auf deren Firewall-Geräten genutzt. Einen Tag später veröffentlichte watchTowr einen Report mit technischen Details darüber, wie die beiden Schwachstellen miteinander verknüpft werden können, um eine Remotecodeausführung dieser Schwachstellen zu erreichen.

Anzeige

Bereits einige Stunden nach der Veröffentlichung des watchTowr-Reports beobachtete Arctic Wolf Labs mehrere Angriffe, die Palo Alto Networks-Geräte betrafen. Aufgrund des engen zeitlichen Zusammenhangs mit der Veröffentlichung des watchTowr-Reports und zusätzlicher von Arctic Wolf Labs geprüfter Beweise geht Arctic Wolf mit mittlerer Wahrscheinlichkeit davon aus, dass bei diesen Einbrüchen CVE-2024-0012 in Verbindung mit CVE-2024-9474 für den Erstzugang ausgenutzt wurde.

Weitere wichtige Erkenntnisse von Arctic Wolf:

  • Betroffene Geräte lösten Downloads über HTTP aus, darunter das Sliver C2-Framework, Coinminer Binaries und verschiedene andere Payloads.
  • Es gibt Hinweise darauf, dass die Bedrohungsakteure die kürzlich bekannt gewordenen PAN-OS-Schwachstellen CVE-2024-0012 und CVE-2024-9474 ausgenutzt haben, um sich einen ersten Zugang zu verschaffen.
  • Die Überwachung von Firewall-Protokollen auf Nutzernamen mit ungewöhnlichen Zeichen bietet eine Möglichkeit zur frühzeitigen Erkennung von Kill Chains.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Keri Shafer-Page, VP of Incident Response bei Arcitic Wolf bewertet die Lage folgendermaßen:

„Die beiden Sicherheitslücken CVE-2024-0012 und CVE-2024-9474 im Betriebssystem von Palo Alto Networks sind ein Beispiel für die Möglichkeiten, die sich Cyberkriminellen durch die Verkettung zweier ungepatchter Sicherheitslücken bieten. Da sich die Hacker-Community ständig weiterentwickelt und neue Taktiken, Techniken und Verfahren (TTPs) mit innovativen Tools kombiniert, müssen Lücken in Systemen umgehend aufgespürt und geschlossen werden.

Die bisher gemeldeten Aktivitäten der Bedrohungsakteure sind lediglich ein Bruchteil dessen, was die möglichen Folgen dieser Beobachtungen sein könnten. Wir wissen, dass Cyberkriminelle vor nichts zurückschrecken, um mit allen Mitteln in Unternehmenssysteme einzudringen und von ähnlichen Bedrohungen zu profitieren. Die Unternehmen müssen daher schnell reagieren, um sich und ihre Kunden zu schützen.“

Anzeige

Weitere Informationen zum Thema finden Sie hier im Arctic Wolf-Blog.

(vp/Arctic Wolf)


Anzeige

Artikel zu diesem Thema

Sicherheitslücke mit hohem CVSS-Score bei Palo Alto Networks
IT-Sicherheitslücken: 20 % der deutschen Firmen reagieren zu langsam

Weitere Artikel

Unternehmen sollten sich auf Cyberangriffe über die Feiertage gefasst machen
Alle fünf Minuten ein Deepfake-Angriff
Angriff auf PyPI-Lieferkette mit KI-Tools als Köder
Black Friday und Cyber Monday: Ein Fest für Cyberkriminelle
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.