Im Oktober hatte Palo Alto Networks mehrere, teils kritische Sicherheitslücken im Migrationswerkzeug Expedition gemeldet und Updates zum Stopfen der Lecks bereitgestellt. Jetzt warnt die US-amerikanische IT-Sicherheitsbehörde CISA, dass Angriffe auf diese Schwachstellen in freier Wildbahn beobachtet wurden.
Anzeige
Konkret warnt die CISA davor, dass zwei der vor rund einem Monat korrigierten Lücken angegriffen werden und sie diese Schwachstellen daher in den Katalog der angegriffenen Sicherheitslücken aufnimmt ("Known Exploited Vulnerabilities"-Katalog). Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9463, CVSS 9.9, Risiko "kritisch") sowie um eine SQL-Injection-Schwachstelle (CVE-2024-9465, CVSS 9.2, kritisch) in Palo Altos Expedition.
Angreifer können verwundbare Appliances vollständig kompromittieren, denn Palo Alto erklärt die Auswirkungen der Lücke in der Sicherheitsmitteilung: Die Schwachstellen ermöglichen Angreifern demnach, Datenbankinhalte und beliebige Dateien zu lesen sowie beliebige Dateien in temporäre Verzeichnisse zu schreiben. In Kombination sind dadurch Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Keys von PAN-OS-Firewalls zugreifbar.
Die Sicherheitslecks betreffen Palo Alto Expedition vor der fehlerkorrigierten Version 1.2.96. IT-Verantwortliche sollten umgehend die Aktualisierung anwenden. Außerdem sollen sie sicherstellen, dass die Software nicht aktiv ist, sofern sie nicht gebraucht wird.