Kritischer Firewall-Bug: Über 2000 Palo-Alto-Geräte weltweit bereits geknackt

Im deutschsprachigen Raum gibt es nur wenige Dutzend Betroffene, zwei Länder hat es jedoch besonders stark erwischt. Exploits sind mittlerweile öffentlich.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Server-Reihe

(Bild: whiteMocca/Shutterstock.com)

Lesezeit: 2 Min.

Durch einen kritischen Sicherheitsfehler in Palo-Alto-Firewalls sind weltweit zwischenzeitlich über 2.000 Geräte von Angreifern übernommen worden. Das hat das Shadowserver Project durch eigene Messungen festgestellt. Ironisch: Der Hersteller der Geräte hält es lediglich für möglich, nicht aber bewiesen, dass öffentliche Exploits für die Lücke existieren.

Palo Alto verspricht derweil größte Transparenz bei der Behandlung der Lücke, die aus zwei unterschiedlichen, aber miteinander verketteten Fehlern in der Web-GUI und der Webserverkonfiguration der Firewalls beruht. Die Fehler sind mittlerweile mit Patches behoben. Ob einmal kompromittierte Geräte nach der Aktualisierung sicher sind, ist unklar.

Palo-Alto-Lücke: Die USA und Indien stechen in der Karte betroffener Systeme stark hervor. Deutschland kommt glimpflich davon.

(Bild: The Shadowserver Foundation)

Besonders betroffen von CVE-2024-0012 und CVE-2024-9474 sind die USA mit über 550 Geräten am 20. November, gefolgt von Indien mit 460. Mit lediglich 15 kompromittierten Geräten ist Deutschland offenbar recht glimpflich davongekommen, in der Schweiz spürten die Scans des Shadowserver Project nur acht Geräte auf. Gänzlich unbeschadet sind offenbar Firewalls in Österreich.

Bereits am gestrigen 21. November hatten viele Admins offenbar reagiert und betroffene Geräte vom Netz genommen oder aktualisiert. Die Zahlen haben sich in Tagesfrist durchweg halbiert. Ein schaler Beigeschmack bleibt jedoch: Wie lange verfügten kriminelle und staatliche Angreifer über geheimes Wissen zu den Sicherheitslücken?

Palo Altos IT-Sicherheitsforscher aus der Abteilung 42 schrieben am 20. November in einer aktualisierten Einschätzung, man könne mit mittlerer bis hoher Genauigkeit die Existenz eines funktionierenden Exploits attestieren. Diese Einschätzung erregt Stirnrunzeln, enthielt der bereits am Vortag veröffentlichte Blogartikel von Watchtowr Labs doch einen praktisch kompletten Beispiel-Exploit (Proof of Concept).

Zudem gehen die Palo-Alto-Mitarbeiter trotz ihrer Transparenz-Beteuerungen nicht auf Meldungen ein, die bereits vor drei Wochen von zum Verkauf stehendem Schadcode für die Firewalls berichteten. Und dass die CISA ebenfalls bereits seit Tagen vor aktiven Angriffen warnt, scheint bei der "Unit 42" nicht für mehr Klarheit zu sorgen.

(cku)