Am 12. April 2024 veröffentlichte das Unternehmen Palo Alto Networks ein Advisory zu einer aktiv ausgenutzten Schwachstelle in PAN-OS, dem Betriebssystem der Firewalls des Herstellers. Bei der Sicherheitslücke mit der Kennung CVE-2024-3400 handelt es sich um eine OS Command Injection im GlobalProtect Gateway Feature, die einem unauthentifizierten Angreifenden aus der Ferne das Ausführen von Code mit Root-Rechten auf der Firewall ermöglicht. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem höchsten Wert 10.0 ("kritisch"; CVSS 4.0) bewertet.
Die Patches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) werden nach Angaben im Advisory voraussichtlich am 14. April 2024 veröffentlicht.
Palo Alto Networks gibt an, eine begrenzte Anzahl an Angriffen mittels dieser Schwachstelle beobachtete zu haben.
Update 1:
Am 15. April 2024 gab der Hersteller die Hotfixes 11.1.2-h3, 11.0.4-h1 und 10.2.9-h1 heraus, welche die Schwachstelle schließen.
Das IT-Sicherheitsunternehmen Volexity veröffentlichte letzte Woche einen Blogbeitrag zur beobachteten Ausnutzung von CVE-2024-3400. Dort enthalten sind Details zum Vorgehen der Angreifenden sowie Indikatoren einer Kompromittierung.
Update 2:
Palo Alto Networks hat das Advisory angepasst und weist darauf hin, dass der bisherige Workaround, das Deaktivieren der Telemetrie-Funktion, nicht mehr vor dem Ausnutzen der Schwachstelle CVE-2024-3400 schützt. Des Weiteren wird eine zunehmend breite Ausnutzung beobachtet und Exploits sind öffentlich verfügbar.
Update 3:
Neben den physischen Geräten von Palo Alto können auch Produkte anderer Hersteller, welche die verwundbaren PAN-OS Versionen (beispielsweise als virtuelle Maschine) integriert und Global Protect konfiguriert haben, anfällig sein.