Das Werkzeug Expedition von Palo Alto Networks dient dazu, von anderen Firewalls auf Palo-Alto-Geräte umzuziehen. Aufgrund von Schwachstellen darin können Angreifer jedoch etwa wichtige Informationen wie Zugangsdaten abgreifen und damit Netzwerke kompromittieren.
Anzeige
In einer Sicherheitsmitteilung listen die Palo-Alto-Entwickler nun fünf Schwachstellen in Expedition auf. Am schwerwiegendsten stufen sie eine SQL-Injection-Schwachstelle ein, durch die authentifizierte Angreifer Inhalte aus der Expedition-Datenbank auslesen können, darunter etwa Passwort-Hashes, Nutzernamen, Gerätekonfigurationen und API-Keys von Geräten (CVE-2025-0103, CVSS 9.2, Risiko "kritisch").
Die weiteren Sicherheitslecks stellen eine geringere Bedrohung dar. Eine Reflected-Cross-Site-Scripting-Lücke erlaubt Angreifern, Expedition-Nutzern bösartigen Javascript-Code unterzujubeln und so etwa Browser-Sessions zu übernehmen (CVE-2025-0104, CVSS 7.0, hoch). Als lediglich mittleres Risiko ordnen die Palo-Alto-Mitarbeiter ein Leck ein, durch das beliebige Dateien gelöscht werden können (CVE-2025-0105, CVSS 6.9, mittel); ein ebenso niedriges Risiko stellt eine Lücke dar, durch die nicht authentifizierte Angreifer Dateien des Host-Systems auflisten können (CVE-2025-0106, CVSS 6.9, mittel). Zudem können angemeldete Nutzer Befehle einschleusen, die als Nutzer www-data ausgeführt werden (CVE-2025-0107, CVSS 6.3, mittel).
In der Übersichtstabelle gibt Palo Alto lediglich den "temporalen Risikograd" nach CVSS an, der im zeitlichen Verlauf stets niedriger ausfällt – das ist zumindest ungewöhnlich und lässt Leser eine geringere Bedrohung vermuten, als sie tatsächlich besteht. Betroffen ist Palo Altos Expedition vor der aktuellen Version 1.2.101. Palo Alto weist darauf hin, dass Expedition am Support-Ende angelangt ist und keine weiteren Updates oder Sicherheitskorrekturen mehr geplant sind. Palo Alto hat zum Meldungszeitpunkt keine Kenntnis davon, dass die Sicherheitslücken bereits missbraucht werden.
In Palo Altos Expedition wurden auch in jüngerer Vergangenheit immer wieder Schwachstellen entdeckt. Zuletzt kam es dann Mitte November zu Angriffen in freier Wildbahn auf diese Sicherheitslücken. Da das Tool offenbar im Visier von Cyberkriminellen steht, sollten IT-Verantwortliche die verfügbare Aktualisierung zügig herunterladen und installieren.
(
Kommentare