Palo Alto Networks hat kürzlich vier hochgradige Sicherheitslücken in seinen Firewall-Produkten offengelegt, die Angreifern das Unterbrechen von Diensten durch Denial-of-Service (DoS)-Angriffe oder Manipulationen von Benutzerzugriffskontrollen ermöglichen könnten.
Die Schwachstellen sind unter den Kennungen CVE-2024-3382, CVE-2024-3383, CVE-2024-3384 und CVE-2024-3385 erfasst und betreffen verschiedene Aspekte der Sicherheitsinfrastruktur.
Detailierte Analyse der Schwachstellen:
- CVE-2024-3382: Denial of Service durch speziell gestaltete Pakete Diese Schwachstelle befindet sich im PAN-OS Betriebssystem und kann zu einem Denial-of-Service (DoS) führen, wenn das Firewall-System eine Flut speziell gestalteter Pakete verarbeitet. Besonders betroffen sind PA-5400 Series Geräte mit aktivierter SSL Forward Proxy-Funktion. Palo Alto Networks hat diesen Fehler in den PAN-OS Versionen 10.2.7-h3, 11.0.4 und 11.1.2 und später behoben.
- CVE-2024-3383: Unzulässige Änderung der Gruppenzugehörigkeit Diese Schwachstelle im Cloud Identity Engine (CIE) Komponente von PAN-OS könnte unbefugten Änderungen an User-ID-Gruppen ermöglichen. Dies könnte zu unangemessenen Zugriffskontrollentscheidungen führen und die Sicherheit von Netzwerkressourcen beeinträchtigen. Das Unternehmen hat dieses Problem in den PAN-OS Versionen 10.1.11, 10.2.5, 11.0.3 und in allen nachfolgenden Releases behoben.
- CVE-2024-3384: DoS durch fehlerhafte NTLM-Pakete Die dritte Schwachstelle betrifft die Handhabung von fehlerhaften NTLM-Paketen, welche dazu führen könnten, dass PAN-OS Firewalls neu starten und möglicherweise in den Wartungsmodus gehen. Diese Schwachstelle erfordert manuelle Eingriffe, um die Firewall wieder in einen betriebsfähigen Zustand zu versetzen. Korrekturen wurden in den PAN-OS Versionen 8.1.24, 9.0.17, 9.1.15-h1 und 10.0.12 unter anderem veröffentlicht.
- CVE-2024-3385: Denial of Service, wenn GTP-Sicherheit deaktiviert ist Diese Schwachstelle betrifft hardwarebasierte Firewalls der Serien PA-5400 und PA-7000. Sie ermöglicht es entfernten Angreifern, die Firewalls durch einen spezifischen Paketverarbeitungsmechanismus neu zu starten, wenn die GTP-Sicherheit deaktiviert ist. Auch diese Schwachstelle wird als hochgradig eingestuft, mit einem CVSSv4.0 Basis-Score von 8.2.
Betroffene Versionen und Lösungen:
Palo Alto Networks hat bisher keine bösartige Ausnutzung dieser Schwachstellen beobachtet. Angesichts ihrer hohen Schweregrade werden Kunden jedoch dringend aufgefordert, die bereitgestellten Patches anzuwenden oder empfohlene Minderungsstrategien zu verfolgen.
Hier eine Zusammenfassung der betroffenen Versionen für jede CVE:
| CVE ID | Betroffene Versionen | Unbetroffene Versionen |
|---|---|---|
| CVE-2024-3382 | PAN-OS 11.1 < 11.1.2, PAN-OS 11.0 < 11.0.4, PAN-OS 10.2 < 10.2.7-h3 | PAN-OS 11.1 >= 11.1.2, PAN-OS 11.0 >= 11.0.4, PAN-OS 10.2 >= 10.2.7-h3 |
| CVE-2024-3383 | PAN-OS 11.0 < 11.0.3, PAN-OS 10.2 < 10.2.5, PAN-OS 10.1 < 10.1.11 | PAN-OS 11.0 >= 11.0.3, PAN-OS 10.2 >= 10.2.5, PAN-OS 10.1 >= 10.1.11 |
| CVE-2024-3384 | PAN-OS 10.0 < 10.0.12, PAN-OS 9.1 < 9.1.15-h1, PAN-OS 9.0 < 9.0.17, PAN-OS 8.1 < 8.1.24 | PAN-OS 10.0 >= 10.0.12, PAN-OS 9.1 >= 9.1.15-h1, PAN-OS 9.0 >= 9.0.17, PAN-OS 8.1 >= 8.1.24 |
| CVE-2024-3385 | PAN-OS 11.0 < 11.0.3, PAN-OS 10.2 < 10.2.8, PAN-OS 10.1 < 10.1.12, PAN-OS 9.1 < 9.1.17, PAN-OS 9.0 < 9.0.17-h4 | PAN-OS 11.0 >= 11.0.3, PAN-OS 10.2 >= 10.2.8, PAN-OS 10.1 >= 10.1.12, PAN-OS 9.1 >= 9.1.17, PAN-OS 9.0 >= 9.0.17-h4 |
Zusammen mit diesen hochgradigen Schwachstellen hat Palo Alto einige mittelschwere Sicherheitsmängel behoben; eine vollständige Beratung finden Sie hier.
Kunden wird dringend empfohlen, die offiziellen Dokumentationen von Palo Alto Networks zu konsultieren oder deren Support-Dienste zu kontaktieren, um die Sicherheit ihrer Netzwerke zu gewährleisten.
