Am 26. November 2024 wurde die Sicherheitslücke CVE-2024-5921 in der Palo Alto Networks GlobalProtect App veröffentlicht, die auf eine unzureichende Validierung von Zertifikaten zurückzuführen ist. Diese Schwachstelle kann von Angreifern ausgenutzt werden, um Root-Zertifikate zu manipulieren und Privilegien zu eskalieren. Die Schwachstelle wird als mittelschwer (Severity 5.6 / MEDIUM) eingestuft.
Die GlobalProtect-App überprüft Zertifikate nicht ausreichend, was Angreifern ermöglicht, die App mit beliebigen Servern zu verbinden. Dadurch können bösartige Root-Zertifikate installiert werden, was wiederum die Installation von mit diesen Zertifikaten signierter Schadsoftware ermöglicht.
Betroffen sind:
- Alle Versionen der GlobalProtect-App unter Windows vor Version 6.2.6.
- Alle Versionen der GlobalProtect-App auf MacOS und Linux.
- Alle Versionen der GlobalProtect-App 6.3, 6.1, 6.0 und 5.1.
- GlobalProtect UWP-App für Windows.
Die Ausnutzung erfolgt lokal und erfordert niedrige Berechtigungen. Es ist keine Benutzerinteraktion notwendig. Der Angriffszugang liegt über ein unsicheres Zertifikatssystem, was zu Privilege Escalation führen kann.
Ein erfolgreicher Angriff kann:
- Die Installation bösartiger Root-Zertifikate auf Endgeräten ermöglichen.
- Schadsoftware einfügen, die von diesen Zertifikaten signiert ist, wodurch Systeme manipuliert und privilegierte Aktionen ausgeführt werden können.
Empfohlenes Update:
- Installieren Sie GlobalProtect Version 6.2.6 oder höher auf betroffenen Windows-Systemen.
- Beispiel für die Installation mit aktiviertem Zertifikatsvalidierungsmodus:
msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY="yes" - Optional können Sie Zertifikatspeicher und -orte festlegen:
msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY="yes" CERTSTORE="machine" CERTLOCATION="ROOT" - CERTSTORE-Optionen: „machine“ (empfohlen) oder „user“.
- CERTLOCATION-Optionen: „ROOT“ (empfohlen), „MY“, „trustedpublisher“ etc.
Workaround:
- Aktivieren Sie den FIPS-CC-Modus in der GlobalProtect-App. Detaillierte Anweisungen sind in der Dokumentation von Palo Alto Networks zu finden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: