Siemens fordert Unternehmen, die seine mit Palo Alto Networks (PAN) Virtual NGFW konfigurierten Ruggedcom APE1808-Geräte verwenden, dringend auf, Workarounds für einen Zero-Day-Bug mit maximalem Schweregrad zu implementieren, den PAN kürzlich in seinem Firewall-Produkt der nächsten Generation offengelegt hat.
Die Schwachstelle durch Befehlsinjektion, identifiziert als CVE-2024-3400, betrifft mehrere Versionen von PAN-OS-Firewalls, wenn bestimmte Funktionen darauf aktiviert sind. Ein Angreifer hat die Schwachstelle ausgenutzt, um eine neuartige Python-Hintertür auf betroffenen Firewalls bereitzustellen.
Aktiv genutzt
PAN hat den Fehler behoben nachdem Forscher von Volexity die Schwachstelle entdeckt und sie Anfang des Monats dem Sicherheitsanbieter gemeldet hatten. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat CVE-2024-3400 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen, nachdem Berichte über mehrere Angriffsgruppen auf die Schwachstelle gemeldet wurden.
Palo Alto Networks selbst hat dies bestätigt Wir sind uns einer wachsenden Zahl von Angriffen bewusst nutzt CVE-2024-3400 und hat davor gewarnt, dass der Proof-of-Concept-Code für die Schwachstelle öffentlich verfügbar ist.
Laut Siemens ist es das Produkt Ruggedcom APE1808, das häufig als Edge-Geräte in industriellen Steuerungsumgebungen eingesetzt wird anfällig für das Problem. Siemens beschrieb alle Versionen des Produkts mit PAN Virtual NGFW, das mit dem GlobalProtect-Gateway oder dem GlobalProtect-Portal – oder beiden – konfiguriert ist, als von der Schwachstelle betroffen.
In einer Empfehlung erklärte Siemens, man arbeite an Updates für den Fehler und empfahl konkrete Gegenmaßnahmen, die Kunden in der Zwischenzeit ergreifen sollten, um das Risiko zu mindern. Zu den Maßnahmen gehört die Verwendung spezifischer Bedrohungs-IDs, die PAN veröffentlicht hat, um Angriffe zu blockieren, die auf die Schwachstelle abzielen. Die Empfehlung von Siemens verwies auf die Empfehlung von PAN, das GlobalProtect-Gateway und das GlobalProtect-Portal zu deaktivieren, und erinnerte Kunden daran, dass die Funktionen in Ruggedcom APE1808-Bereitstellungsumgebungen bereits standardmäßig deaktiviert sind.
PAN empfahl Unternehmen zunächst auch, die Gerätetelemetrie zu deaktivieren, um sich vor Angriffen zu schützen, die auf die Schwachstelle abzielen. Der Sicherheitsanbieter zog diesen Rat später mit der Begründung zurück, er sei wirkungslos. „Die Gerätetelemetrie muss nicht aktiviert sein, damit PAN-OS-Firewalls Angriffen im Zusammenhang mit dieser Schwachstelle ausgesetzt sind“, stellte das Unternehmen fest.
Siemens forderte Kunden grundsätzlich dazu auf, den Netzwerkzugriff auf Geräte in industriellen Steuerungsumgebungen durch geeignete Mechanismen zu schützen: „Um die Geräte in einer geschützten IT-Umgebung zu betreiben, empfiehlt Siemens, die Umgebung gemäß den Betriebsrichtlinien von Siemens zu konfigurieren.“ für industrielle Sicherheit.“
Die Shadowserver Foundation, die das Internet auf bedrohungsrelevanten Datenverkehr überwacht, identifizierte rund 5,850 gefährdete Instanzen der NGFW von PAN sind zum 22. April offengelegt und über das Internet zugänglich. Etwa 2,360 der gefährdeten Instanzen scheinen sich in Nordamerika zu befinden; Asien verzeichnete mit rund 1,800 exponierten Fällen die zweithöchste Zahl.
Internet-exponierte Geräte bleiben ein kritisches Risiko für ICS/OT
Es ist unklar, wie viele dieser exponierten Instanzen sich in den Bereichen industrielle Steuerungssysteme (ICS) und Betriebstechnik (OT) befinden. Aber im Allgemeinen ist die Internetpräsenz weiterhin ein großes Problem in ICS- und OT-Umgebungen. A neue Untersuchung von Forescout hat weltweit fast 110,000 mit dem Internet verbundene ICS- und OT-Systeme aufgedeckt. Die USA waren mit 27 % der aufgedeckten Fälle führend. Allerdings war diese Zahl im Vergleich zu vor einigen Jahren deutlich niedriger. Im Gegensatz dazu stellte Forescout einen starken Anstieg der Zahl der internetexponierten ICS/OT-Geräte in anderen Ländern fest, darunter Spanien, Italien, Frankreich, Deutschland und Russland.
„Opportunistische Angreifer missbrauchen diese Gefährdung zunehmend in großem Umfang – manchmal mit einer sehr laxen Zielstrategie, die von Trends wie aktuellen Ereignissen, Nachahmerverhalten oder den Notfällen neuer, handelsüblicher Funktionen oder Hacking-Anleitungen bestimmt wird“, sagte Forescout . Der Sicherheitsanbieter schätzte, dass die Gefährdung zumindest teilweise damit zu tun hatte, dass Systemintegratoren Paketpakete mit darin enthaltenen Komponenten lieferten, die ICS- und OT-Systeme unbeabsichtigt dem Internet zugänglich machten. „Aller Wahrscheinlichkeit nach“, sagte Forescout, „wissen die meisten Anlageneigentümer nicht, dass diese verpackten Einheiten freiliegende OT-Geräte enthalten.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug
