Fünf Fakten zu den jüngsten Firewall- und VPN-Angriffen
Hacker haben sich eine Sicherheitslücke in mehreren Versionen der PAN-OS-Firewall-Software von Palo Alto Networks zu Nutze gemacht. Gleichzeitig rollt eine Welle von Brute Force-Angriffen auf VPNs.
Gestern war kein guter Tag für die IT- und Netzwerksicherheit. Gleich zwei Enthüllungen bestätigten, das Hacker neben Geräten immer häufiger auch Fernzugriffsdienste angreifen, um in Kundenumgebungen einzudringen.
PAN-OS-Exploit
Am Freitag hatte Palo Alto Networks eine kritische Sicherheitslücke bekannt gegeben, die die Versionen PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 der Firewall-Software betrifft.
Diese Zero-Day-Schwachstelle hatten böswillige Angreifer bereits zum Zeitpunkt der Veröffentlichung ausgenutzt. Wie es im Advisory des Herstellers heißt, habe es am Dienstagnachmittag jedoch nur eine "begrenzte Anzahl von Angriffen" gab. Die ersten Patches zur Behebung der Schwachstelle hatte Am hatte Palo Alto bereits am Sonntag der veröffentlicht. Nach Angaben des Anbieters ist die Schwachstelle (CVE-2024-3400) als "kritisch" eingestuft worden, mit dem maximalen Schweregrad von 10,0 von 10,0.
Gestern veröffentlichten die watchTowr Labs einen "Proof-of-Concept-Exploit-Code, der auf anfälligen Palo Alto Networks-Firewalls letztlich als Shell-Befehl ausgeführt wird", heißt es in einem Blog-Post des Anbieters.
Starke Reaktion
Palo Alto Networks hat nach der Entdeckung der kritischen Sicherheitslücke schnell reagiert und Informationen offen weitergegeben, berichtete Caitlin Condon, eine Führungskraft des Cybersecurity-Anbieters Rapid7 der US-CRN.
Entdeckt hatten die Schwachstelle Forscher des Cybersicherheitsunternehmens Volexity, die Beweise für die Ausnutzung der Schwachstelle im freien Feld gefunden hatten. Als Reaktion darauf habe Palo Alto Networks zügig für Transparenz gesorgt und informiert, "noch bevor die Patches vollständig verfügbar waren", so Condon.
Mit der Offenlegung der Schwachstelle hätte der Anbieter auch Abhilfemaßnahmen zur Verfügung gestellt und die Botschaft und die Botschaft lautete im Wesentlichen: "Schaffen Sie jetzt Abhilfe, und wir stellen Ihnen die Patches so schnell wie möglich zur Verfügung", berichtete Condon. Die ersten Patches habe Palo Alto Networks am Sonntag veröffentlicht. "Um das zu ermöglichen, haben sie offensichtlich das ganze Wochenende über gearbeitet."
Angriffe auf VPNs
Gestern warnten die Forscher von Cisco Talos vor einer Welle von Angriffen, die seit letztem Monat laufen und die sich auch gegen weit verbreitete VPN-Dienste richteten. Laut Talos arbeiten die Angreifer mit Brute-Force-Taktiken (zum Erraten von Passwörtern) und zielen neben SSH-Dienste auch auf die Authentifizierungsschnittstellen für Webanwendungen ab.
Laut Angaben des Talos-Forschungsteams läuft mindestens schon seit dem 18. März. "Abhängig von der Zielumgebung können erfolgreiche Angriffe dieser Art zu unbefugtem Netzwerkzugriff, Kontosperrungen oder Denial-of-Service-Bedingungen führen", schreiben die Forscher in einem Blog-Beitrag. "Der Datenverkehr im Zusammenhang mit diesen Angriffen hat mit der Zeit zugenommen und wird wahrscheinlich weiter ansteigen."
Betroffene Dienste
Die Talos-Forscher haben eine Reihe von "bekannten betroffenen Diensten" in der Angriffskampagne aufgelistet. Zu diesen Diensten gehören Ciscos Secure Firewall VPN-Angebot sowie VPN-Dienste von Check Point, Fortinet, SonicWall und Ubiquiti. Es sei jedoch möglich, dass auch weitere Dienste von diesen Angriffen betroffen sind.
CRN hat sich mit Cisco, Check Point, Fortinet, SonicWall und Ubiquiti in Verbindung gesetzt und um eine Stellungnahme gebeten.
Wachsendes Risiko
„ Der größere Kontext für die Angriffe auf Firewall-Geräte und VPN-Dienste ist, dass es sich um Geräte handelt, die vor Jahrzehnten entwickelt wurden", so Deepen Desai, Chief Security Officer und Senior Vice President of Security Engineering and Research bei Zscaler.
"Sie haben sicherlich ihren Zweck erfüllt, egal ob es sich um ein VPN oder eine Firewall handelt", so Desai gegenüber CRN. „Allerdings war die Bedrohungslandschaft damals eine völlig andere", sagte er.
"Besonders wenn es um Zero-Day-Exploits in Firewalls geht, können die Auswirkungen heute enorm sein", so Desai. "Der Bedrohungsakteur ist in der Lage, in Ihr Haus einzudringen, ohne einen Schlüssel zu haben. Er kann alles im Haus tun und er hat alles in Reichweite."