CISA kennzeichnet Schwachstellen von Palo Alto & SonicWall als ausgenutzt

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Dienstag zwei Sicherheitsanfälligkeiten, die Produkte von Palo Alto Networks und SonicWall betreffen, zu ihrem Katalog der bekannt ausgenutzten Schwachstellen (KEV) hinzugefügt und warnt Organisationen vor aktiven Ausnutzungen durch böswillige Akteure.

Die beiden unten genannten Schwachstellen, die auf Beweisen für aktive Ausnutzung basieren, sind häufige Angriffsvektoren für böswillige Cyberakteure und stellen erhebliche Risiken für Organisationen dar. Diese sind:

• CVE-2025-0108 (CVSS-Score: 7.8) – Palo Alto PAN-OS Authentifizierungsumgehungsschwachstelle: Diese Schwachstelle betrifft das PAN-OS von Palo Alto Networks, die Software, die auf seinen Next-Generation-Firewalls läuft. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Authentifizierungsmechanismen zu umgehen und unbefugten Zugriff auf Netzwerkressourcen zu erlangen. Die Ausnutzung dieser Schwachstelle könnte es Bedrohungsakteuren ermöglichen, in sensible Systeme einzudringen, Daten zu exfiltrieren oder weitere Exploits innerhalb eines kompromittierten Netzwerks bereitzustellen.
• CVE-2024-53704 (CVSS-Score: 8.2) – SonicWall SonicOS SSLVPN Unzureichende Authentifizierungsschwachstelle: Diese Schwachstelle besteht in der SSLVPN-Funktion von SonicWall, die für den sicheren Remote-Zugriff verwendet wird. Angreifer können diese Schwachstelle ausnutzen, um Authentifizierungsverfahren zu umgehen, was unbefugten Zugriff auf VPN-geschützte Netzwerke gewährt. Dies ermöglicht es den Angreifern, Nachrichten abzufangen, Zugriff auf interne Ressourcen zu stehlen und Privilegien zu eskalieren, was eine massive Bedrohung für die Sicherheit von Unternehmen darstellt.

Palo Alto Networks hat die aktive Ausnutzung der Schwachstelle CVE-2025-0108 bestätigt.

Das Unternehmen weist darauf hin, dass es Ausnutzungsversuche mit anderen Schwachstellen, wie CVE-2024-9474 und CVE-2025-0111, beobachtet hat.

„Palo Alto Networks hat Ausnutzungsversuche beobachtet, die CVE-2025-0108 mit CVE-2024-9474 und CVE-2025-0111 auf nicht gepatchten und unsicheren PAN-OS-Webmanagementschnittstellen verknüpfen“, sagte das Unternehmen in einem aktualisierten Hinweis.

Laut dem Cybersicherheitsunternehmen GreyNoise wurden bis heute 26 aktive Ausnutzungsversuche gegen die Authentifizierungsumgehungsschwachstelle CVE-2025-0108 unternommen. Diese Schwachstelle hat die großen Länder betroffen: die Vereinigten Staaten, Frankreich, Deutschland, die Niederlande und Brasilien.

Andererseits hat Bishop Fox kürzlich technische Details und einen Proof-of-Concept (PoC) Exploit für CVE-2024-53704, eine hochgradige Authentifizierungsumgehung in SonicOS SSLVPN, veröffentlicht. Kurz nachdem der PoC veröffentlicht wurde, entdeckte Arctic Wolf Ausnutzungsversuche in der Wildnis.

Als Reaktion auf die aktive Ausnutzung dieser Schwachstellen hat CISA alle Bundesbehörden (FCEB) gemäß der im November 2021 erlassenen Binding Operational Directive (BOD) 22-01 verpflichtet, die Patches bis zum 11. März 2025 anzuwenden, um die identifizierten Schwachstellen zu beheben und ihre Netzwerke vor potenziellen Bedrohungen zu schützen.

Palo Alto Networks und SonicWall, zwei der großen Netzwerk-Sicherheitsgiganten, haben Updates und Sicherheitswarnungen für betroffene Benutzer veröffentlicht.

Organisationen, die diese Produkte verwenden, sollten sicherstellen, dass sie die neueste Firmware ausführen und bewährte Cybersicherheitspraktiken befolgen, einschließlich der Überwachung ungewöhnlicher Netzwerkaktivitäten, der Einschränkung des Zugriffs auf vertrauenswürdige Quellen und der Implementierung mehrschichtiger Verteidigungsstrategien.