Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Palo Alto Globalprotect: Schadcode-Lücke durch unzureichende Zertifikatsprüfung

Palo Alto Networks Globalprotect App dient zur Herstellung von VPN-Verbindungen. Eine Sicherheitslücke ermöglicht Angreifern, Schadcode einzuschleusen und mit erhöhten Rechten auf verwundbaren Rechnern zu installieren.

Anzeige

Die Entdecker der Sicherheitslücke von Amberwolf schreiben in ihrer detaillierten Analyse, dass die Globalprotect-VPN-Clients sowohl unter macOS als auch unter Windows anfällig für das Ausführen von Schadcode aus dem Netz und der Ausweitung der Rechte sind, und zwar durch den automatischen Update-Mechanismus (CVE-2024-5921, CVSS-B 7.2, Risiko "hoch"). Zwar erfordert der Update-Prozess, dass MSI-Dateien signiert sind, jedoch können Angreifer den PanGPS-Dienst zum Installieren eines bösartigen, dadurch vertrautem Root-Zertifikat missbrauchen. Die Updates laufen dann mit den Rechten der Dienst-Komponente – root und macOS und SYSTEM unter Windows.

Standardmäßig können Nutzerinnen und Nutzer beliebige Endpunkte in der Bedienoberfläche der VPN-Clients eintragen. Das können Angreifer etwa mit Social Engineering ausnutzen, um Opfer dazu zu bringen, auf bösartige VPN-Server zu verbinden. Diese können Zugangsdaten abgreifen und Systeme mit bösartigen Client-Updates kompromittieren.

In der Sicherheitsmitteilung erklärt Palo Alto, dass von der Sicherheitslücke die Globalprotect Apps 6.3 für alle Betriebssysteme, 6.2 für Linux, macOS und Windows, 6.1 für alle OS, die Globalprotect iOS-App sowie die UWP-App betroffen sind. Bei der Android-Version laufen die Analysen von Palo Alto noch. Nicht betroffen sind Globalprotect 5.1 und 6.0 im FIPS-CC-Modus, dessen Aktivierung die Entwickler auch als einen möglichen Workaround nennen. Außerdem ist die Lücke ab Globalprotect 6.2.6 für Windows nicht mehr enthalten.

Die von Palo Alto angegebene Timeline beginnt erst mit der Veröffentlichung der Sicherheitsmitteilung vom Dienstag. Amberwolf schreibt jedoch, dass Palo Alto bereits im April über die Schwachstelle informiert wurde. Außerdem spielt Palo Alto die Gefahr der Schwachstelle herunter und bezieht sich in der eigenen Mitteilung auf den Temporal Base Score nach CVSS – im zeitlichen Verlauf werden Lücken eigentlich immer als niedrigere Bedrohung eingestuft. Allerdings suggeriert der CVSS-BT-Wert von 5.1 einen lediglich mittleren Schweregrad, der ein Handeln seitens der IT-Verantwortlichen nicht unmittelbar erfordere.

Derzeit sind mehrere Produkte von Palo Alto Networks im Visier von Angreifern. Das renommierte Unternehmen fällt dabei jedoch nicht gerade positiv durch transparenten Umgang mit den Schwachstellen auf. Datumsangaben in den Advisories zu teils bereits in freier Wildbahn missbrauchten PAN-OS-Sicherheitslücken passen nicht zu jenen von den Gruppen, die die Lücken oder Angriffe gemeldet haben. Bestätigungen von Angriffen seitens der US-amerikanischen IT-Sicherheitsbehörde CISA sorgen in anderen Fällen nicht dafür, dass sich Palo Alto sicher ist, dass eine Lücke bereits ausgenutzt wurde. Zu dem Zeitpunkt am vergangenen Freitag haben IT-Sicherheitsforscher bereits mehr als 2000 geknackte Palo-Alto-Geräte gezählt. Palo Altos IT-Sicherheitsabteilung Unit 42 sprach dort von mittlerer bis hoher Genauigkeit, mit der sie die Existenz eines funktionierenden Exploits attestieren könne.

Anzeige

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Interpol und Afripol: 1006 verhaftete Cyberkrimine...
Microsoft patcht teils kritische Lücken außer der ...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 14. Dezember 2024

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image