Palo Alto Networks Globalprotect App dient zur Herstellung von VPN-Verbindungen. Eine Sicherheitslücke ermöglicht Angreifern, Schadcode einzuschleusen und mit erhöhten Rechten auf verwundbaren Rechnern zu installieren.
Die Entdecker der Sicherheitslücke von Amberwolf schreiben in ihrer detaillierten Analyse, dass die Globalprotect-VPN-Clients sowohl unter macOS als auch unter Windows anfällig für das Ausführen von Schadcode aus dem Netz und der Ausweitung der Rechte sind, und zwar durch den automatischen Update-Mechanismus (CVE-2024-5921, CVSS-B 7.2, Risiko "hoch"). Zwar erfordert der Update-Prozess, dass MSI-Dateien signiert sind, jedoch können Angreifer den PanGPS-Dienst zum Installieren eines bösartigen, dadurch vertrautem Root-Zertifikat missbrauchen. Die Updates laufen dann mit den Rechten der Dienst-Komponente – root und macOS und SYSTEM unter Windows.
Kontaktieren bösartiger Server zum Codeschmuggel
Standardmäßig können Nutzerinnen und Nutzer beliebige Endpunkte in der Bedienoberfläche der VPN-Clients eintragen. Das können Angreifer etwa mit Social Engineering ausnutzen, um Opfer dazu zu bringen, auf bösartige VPN-Server zu verbinden. Diese können Zugangsdaten abgreifen und Systeme mit bösartigen Client-Updates kompromittieren.
In der Sicherheitsmitteilung erklärt Palo Alto, dass von der Sicherheitslücke die Globalprotect Apps 6.3 für alle Betriebssysteme, 6.2 für Linux, macOS und Windows, 6.1 für alle OS, die Globalprotect iOS-App sowie die UWP-App betroffen sind. Bei der Android-Version laufen die Analysen von Palo Alto noch. Nicht betroffen sind Globalprotect 5.1 und 6.0 im FIPS-CC-Modus, dessen Aktivierung die Entwickler auch als einen möglichen Workaround nennen. Außerdem ist die Lücke ab Globalprotect 6.2.6 für Windows nicht mehr enthalten.
Die von Palo Alto angegebene Timeline beginnt erst mit der Veröffentlichung der Sicherheitsmitteilung vom Dienstag. Amberwolf schreibt jedoch, dass Palo Alto bereits im April über die Schwachstelle informiert wurde. Außerdem spielt Palo Alto die Gefahr der Schwachstelle herunter und bezieht sich in der eigenen Mitteilung auf den Temporal Base Score nach CVSS – im zeitlichen Verlauf werden Lücken eigentlich immer als niedrigere Bedrohung eingestuft. Allerdings suggeriert der CVSS-BT-Wert von 5.1 einen lediglich mittleren Schweregrad, der ein Handeln seitens der IT-Verantwortlichen nicht unmittelbar erfordere.
Derzeit sind mehrere Produkte von Palo Alto Networks im Visier von Angreifern. Das renommierte Unternehmen fällt dabei jedoch nicht gerade positiv durch transparenten Umgang mit den Schwachstellen auf. Datumsangaben in den Advisories zu teils bereits in freier Wildbahn missbrauchten PAN-OS-Sicherheitslücken passen nicht zu jenen von den Gruppen, die die Lücken oder Angriffe gemeldet haben. Bestätigungen von Angriffen seitens der US-amerikanischen IT-Sicherheitsbehörde CISA sorgen in anderen Fällen nicht dafür, dass sich Palo Alto sicher ist, dass eine Lücke bereits ausgenutzt wurde. Zu dem Zeitpunkt am vergangenen Freitag haben IT-Sicherheitsforscher bereits mehr als 2000 geknackte Palo-Alto-Geräte gezählt. Palo Altos IT-Sicherheitsabteilung Unit 42 sprach dort von mittlerer bis hoher Genauigkeit, mit der sie die Existenz eines funktionierenden Exploits attestieren könne.
(dmk)
English (US) ·