{"id":294816,"date":"2024-04-27T11:43:39","date_gmt":"2024-04-27T09:43:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294816"},"modified":"2024-04-27T11:43:39","modified_gmt":"2024-04-27T09:43:39","slug":"neue-warnung-vor-schwachstelle-cve-2024-3400-in-palo-alto-networks-firewalls","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/27\/neue-warnung-vor-schwachstelle-cve-2024-3400-in-palo-alto-networks-firewalls\/","title":{"rendered":"Neue Warnung vor Schwachstelle CVE-2024-3400 in Palo Alto Networks Firewalls"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"margin: 0px 10px 0px 0px\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>Anfang April 2024 gab es bereits eine Warnung zu einer ungepatchte Sicherheitsl\u00fccke (<a href=\"https:\/\/security.paloaltonetworks.com\/CVE-2024-3400\" target=\"_blank\" rel=\"noopener\">CVE-2024-3400<\/a>) in der PAN-Firmware, die in Palo Alto Networks Firewalls zum Einsatz kommt. Es hie\u00df, dass die Schwachstelle in bestimmten Szenarien ausgenutzt werden kann und auch aktiv ausgenutzt wird. Nun ha CERT-Bund (BSI) einen aktualisierten Sicherheitshinweis dazu ver\u00f6ffentlicht, weil die Bewertung und die Ma\u00dfnahmen zur Absicherung sich wohl ge\u00e4ndert haben &#8211; die Hilfen zur Absicherung greifen wohl nicht. Hier ein kurzer \u00dcberblick \u00fcber den aktuellen Sachstand.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf die alte Warnung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/7123371bb551497fa4815ce960ee10c0\" width=\"1\" height=\"1\"\/>Zum 12. April 2024 hatte ich die Sicherheitswarnung des BSI (CERT-Bund) im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/12\/warnung-aktive-ausnutzung-einer-ungepatchten-schwachstelle-in-palo-alto-networks-firewalls\/\">Warnung: Aktive Ausnutzung einer ungepatchten Schwachstelle CVE-2024-3400 in Palo Alto Networks Firewalls<\/a> aufgegriffen. In Palo Alto Networks Firewalls wurde eine ungepatchte Sicherheitsl\u00fccke (<a href=\"https:\/\/security.paloaltonetworks.com\/CVE-2024-3400\" target=\"_blank\" rel=\"noopener\">CVE-2024-3400<\/a>) bekannt, die in bestimmten Szenarien ausgenutzt werden kann. Gleichzeitig wurde beobachtet, dass diese Schwachstelle durch Cyberkriminelle aktiv ausgenutzt wurde. <\/p>\n<p>Konkret bezog sich die Warnung auf eine Command Injection-Schwachstelle in der GlobalProtect-Funktion des PAN-OS, dem Betriebssystem der Firewalls des Herstellers Palo Alto Networks. Die Schwachstelle betrifft bestimmte PAN-OS-Versionen und bestimmte Funktionskonfigurationen von Palo Alto Networks und kann einem nicht authentifizierten Angreifer die Ausf\u00fchrung von beliebigem Code mit Root-Rechten auf der Firewall erm\u00f6glichen. Betroffen von der Schwachstelle CVE-2024-3400 sind Firewalls mit: <\/p>\n<ul>\n<li>PAN-OS 11.1 mit Version &lt; 11.1.2-h3  <\/li>\n<li>PAN-OS 11.0 mit Version &lt; 11.0.4-h1  <\/li>\n<li>PAN-OS 10.2 mit Version &lt; 10.2.9-h1<\/li>\n<\/ul>\n<p>mit konfiguriertem GlobalProtect Gateway und aktiviertem Telemetrie-Feature. Die Schwachstelle wurde nach dem Common Vulnerability Scoring System (CVSS) mit dem h\u00f6chsten Wert 10.0 (\"kritisch\"; CVSS 4.0) bewertet. Der Hersteller Palo Alto Networks hatte dazu einen Sicherheitshinweis ver\u00f6ffentlicht, der auch Ma\u00dfnahmen zur Absicherung umfasste. Am 15. April 2024 gab der Hersteller Palo Alto Networks die Hotfixes 11.1.2-h3, 11.0.4-h1 und 10.2.9-h1 heraus, welche die Schwachstelle schlie\u00dfen.<\/p>\n<h2>Revision der Einstufung<\/h2>\n<p>Nun hat Palo Alto Networks nach weiteren Untersuchungen wohl eine gravierende Revision der Einstufung der Schwachstelle und der Aussage, dass nur bestimmte Konstellationen betroffen seien, vorgenommen. Das BSI (CERT-Bund) warnt seit dem 24. April 2024 in einer revidierten Mitteilung <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2024\/2024-231856-1032\" target=\"_blank\" rel=\"noopener\">Version 1.3: Palo Alto Networks Firewalls &#8211; Aktive Ausnutzung einer ungepatchten Schwachstelle<\/a> vor der Ausnutzung der Schwachstellen in PAN-OS (siehe auch folgenden Tweet). <\/p>\n<p><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2024\/2024-231856-1032\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Warnung vor Sicherheitsl&uuml;cke (CVE-2024-3400) in Palo Alto Networks Firewalls\" alt=\"Warnung vor Sicherheitsl&uuml;cke (CVE-2024-3400) in Palo Alto Networks Firewalls\" src=\"https:\/\/i.postimg.cc\/XvWqGkZq\/image.png\"\/><\/a><br \/>Warnung vor Sicherheitsl\u00fccke (CVE-2024-3400) in Palo Alto Networks Firewalls<\/p>\n<p>Hintergrund ist, dass Palo Alto Networks das Advisory angepasst hat und nun darauf hinweist, dass der bisherige (und oben erw\u00e4hnte) Workaround, das Deaktivieren der Telemetrie-Funktion, nicht mehr vor dem Ausnutzen der Schwachstelle CVE-2024-3400 sch\u00fctzt. Des Weiteren wird eine zunehmend breite Ausnutzung beobachtet, des es sich bereits Exploits \u00f6ffentlich verf\u00fcgbar.<\/p>\n<p>In einem weiteren Update (<a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2024\/2024-231856-1032.pdf?__blob=publicationFile&amp;v=7\" target=\"_blank\" rel=\"noopener\">PDF<\/a>) weist das BSI zudem darauf hin, dass neben physischen Ger\u00e4ten von Palo Alto auch Produkte anderer Hersteller, welche die verwundbaren PAN-OS Versionen (beispielsweise als virtuelle Maschine) integriert und Global Protect konfiguriert haben, anf\u00e4llig sein k\u00f6nnen. Hiervon berichtet laut BSI die Firma Siemens in seinem Security Advisory <a href=\"https:\/\/cert-portal.siemens.com\/productcert\/html\/ssa-750274.html\" target=\"_blank\" rel=\"noopener\">SSA-750274: Impact of CVE-2024-3400 on RUGGEDCOM APE1808 devices configured with Palo Alto Networks Virtual NGFW<\/a>. Das BSI sieht die Gefahr, dass Produkte anderer Hersteller, die die verwundbare Software integriert haben, leichter zu \u00fcbersehen sind. Es besteht somit das Risiko, dass eine erfolgreiche Kompromittierung l\u00e4nger nicht erkannt wird.<\/p>\n<p><a href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/map\/?map_type=std&amp;day=2024-04-23&amp;source=http_vulnerable&amp;source=http_vulnerable6&amp;tag=cve-2024-3400%2B&amp;geo=all&amp;data_set=count&amp;scale=log\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Verwundbare Palo Alto Networks Firewalls\" alt=\"Verwundbare Palo Alto Networks Firewalls\" src=\"https:\/\/i.postimg.cc\/rFWrYJry\/image.png\"\/><\/a><br \/><a href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/map\/?map_type=std&amp;day=2024-04-23&amp;source=http_vulnerable&amp;source=http_vulnerable6&amp;tag=cve-2024-3400%2B&amp;geo=all&amp;data_set=count&amp;scale=log\" target=\"_blank\" rel=\"noopener\">Shodan.io:<\/a> Verwundbare Palo Alto Networks Firewalls<\/p>\n<p>Nach Scans der <a href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/map\/?map_type=std&amp;day=2024-04-23&amp;source=http_vulnerable&amp;source=http_vulnerable6&amp;tag=cve-2024-3400%2B&amp;geo=all&amp;data_set=count&amp;scale=log\" target=\"_blank\" rel=\"noopener\">Shadowserver Foundation<\/a> sind in Deutschland weiterhin mehr als 130 durch CVE-2024-3400 kompromittierte Firewalls zu finden (Stand 23.04.2024). Konkrete Hinweise, wie Produkte anderer Hersteller, die die verwundbare Software integriert haben, abzusichern sind, sollen laut BSI den Security Advisories der Hersteller entnommen werden. Dem BSI liegt keine Liste der betroffenen L\u00f6sungen vor. IT-Sicherheitsverantwortliche sollten bei Recherchen zu den in der eigenen Institution genutzten Produkten pr\u00fcfen, ob hier PAN-OS integriert und Global Protect konfiguriert werden (k\u00f6nnen). Details zur Schwachstelle sowie den in Gelb hinterlegten Revisionen sind dem <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2024\/2024-231856-1032.pdf?__blob=publicationFile&amp;v=7\" target=\"_blank\" rel=\"noopener\">PDF-Dokument des BSI<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Anfang April 2024 gab es bereits eine Warnung zu einer ungepatchte Sicherheitsl\u00fccke (CVE-2024-3400) in der PAN-Firmware, die in Palo Alto Networks Firewalls zum Einsatz kommt. Es hie\u00df, dass die Schwachstelle in bestimmten Szenarien ausgenutzt werden kann und auch aktiv ausgenutzt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/27\/neue-warnung-vor-schwachstelle-cve-2024-3400-in-palo-alto-networks-firewalls\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[2712,4328,3836],"class_list":["post-294816","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-firewall","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294816","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294816"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294816\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}