Hochqualifizierte Hacker machen mehrere Unternehmensnetzwerke kaputt, indem sie eine Zero-Day-Schwachstelle mit maximalem Schweregrad in einem Firewall-Produkt von Palo Alto Networks ausnutzen, sagten Forscher am Freitag.
Die Sicherheitslücke, die seit mindestens zwei Wochen aktiv ausgenutzt wird, ermöglicht es Hackern ohne Authentifizierung, Schadcode mit Root-Rechten auszuführen, der höchstmöglichen Systemzugriffsebene, so die Forscher. Das Ausmaß der Kompromittierung und die einfache Ausnutzbarkeit haben der Schwachstelle CVE-2024-3400 den maximalen Schweregrad von 10,0 eingebracht. Die laufenden Angriffe sind die jüngsten in einer Reihe von Angriffen, die auf Firewalls, VPNs und Dateiübertragungsgeräte abzielen, die aufgrund ihrer Vielzahl an Schwachstellen und ihrer direkten Pipeline in die sensibelsten Teile eines Netzwerks beliebte Ziele sind.
„Sehr leistungsfähiger“ UTA0218, dem wahrscheinlich weitere folgen werden
Der Zero-Day ist in den Firewalls PAN-OS 10.2, PAN-OS 11.0 und/oder PAN-OS 11.1 vorhanden, wenn sie für die Verwendung sowohl des GlobalProtect-Gateways als auch der Gerätetelemetrie konfiguriert sind. Palo Alto Networks muss die Schwachstelle noch beheben, fordert die betroffenen Kunden jedoch dringend auf, die hier bereitgestellten Workaround- und Schadensbegrenzungsanleitungen zu befolgen. Zu den Ratschlägen gehört die Aktivierung der Bedrohungs-ID 95187 für diejenigen mit Abonnements für den Threat Prevention-Dienst des Unternehmens und die Sicherstellung, dass der Schwachstellenschutz auf ihre GlobalProtect-Schnittstelle angewendet wurde. Wenn dies nicht möglich ist, sollten Kunden die Telemetrie vorübergehend deaktivieren, bis ein Patch verfügbar ist.
Volexity, das Sicherheitsunternehmen, das die Zero-Day-Angriffe entdeckt hat, sagte, dass es derzeit nicht in der Lage sei, die Angreifer einer zuvor bekannten Gruppe zuzuordnen. Basierend auf den erforderlichen Ressourcen und den Zielorganisationen sind sie jedoch „überaus leistungsfähig“ und werden wahrscheinlich von einem Nationalstaat unterstützt. Bisher ist nur eine einzige Bedrohungsgruppe – die Volexity als UTA0218 verfolgt – dafür bekannt, die Schwachstelle in begrenzten Angriffen auszunutzen. Das Unternehmen warnte davor, dass CVE-2024-3400, sobald neue Gruppen von der Schwachstelle erfahren, wahrscheinlich massenhaft ausgenutzt wird, so wie es in den letzten Monaten auch bei den jüngsten Zero-Day-Angriffen auf Produkte von Unternehmen wie Ivanti, Atlassian, Citrix und Progress der Fall war .
„Wie bei früheren öffentlichen Offenlegungen von Schwachstellen in solchen Geräten geht Volexity davon aus, dass in den nächsten Tagen wahrscheinlich ein Anstieg der Ausnutzung durch UTA0218 und möglicherweise andere Bedrohungsakteure beobachtet wird, die möglicherweise Exploits für diese Schwachstelle entwickeln“, so Forscher des Unternehmens schrieb am Freitag. „Dieser Anstieg der Aktivität wird durch die Dringlichkeit verursacht, dieses Zugangsfenster aufgrund der Bereitstellung von Abhilfemaßnahmen und Patches zu schließen. Daher ist es für Unternehmen unerlässlich, schnell zu handeln, empfohlene Abhilfemaßnahmen umzusetzen und Kompromittierungsprüfungen ihrer Geräte durchzuführen, um zu prüfen, ob weitere interne Untersuchungen ihrer Netzwerke erforderlich sind.“
Die frühesten Angriffe, die Volexity gesehen hat, fanden am 26. März statt. Forscher vermuten, dass es sich dabei um UTA0218 handelte, bei dem die Schwachstelle getestet wurde, indem Null-Byte-Dateien auf Firewall-Geräten abgelegt wurden, um die Ausnutzbarkeit zu überprüfen. Am 7. April beobachteten die Forscher, wie die Gruppe erfolglos versuchte, eine Hintertür auf der Firewall eines Kunden zu installieren. Drei Tage später führten die Angriffe der Gruppe erfolgreich bösartige Payloads durch. Seitdem hat die Bedrohungsgruppe benutzerdefinierte, noch nie dagewesene Post-Exploitation-Malware eingesetzt. Die in der Python-Sprache geschriebene Hintertür ermöglicht es den Angreifern, mithilfe speziell gestalteter Netzwerkanfragen zusätzliche Befehle auf gehackten Geräten auszuführen.
