Zertifikatsvalidierungsproblem in der Palo Alto Networks GlobalProtect App

Am 26. November 2024 wurde die Sicherheitslücke CVE-2024-5921 in der Palo Alto Networks GlobalProtect App veröffentlicht, die auf eine unzureichende Validierung von Zertifikaten zurückzuführen ist. Diese Schwachstelle kann von Angreifern ausgenutzt werden, um Root-Zertifikate zu manipulieren und Privilegien zu eskalieren. Die Schwachstelle wird als mittelschwer (Severity 5.6 / MEDIUM) eingestuft.

Die GlobalProtect-App überprüft Zertifikate nicht ausreichend, was Angreifern ermöglicht, die App mit beliebigen Servern zu verbinden. Dadurch können bösartige Root-Zertifikate installiert werden, was wiederum die Installation von mit diesen Zertifikaten signierter Schadsoftware ermöglicht.

Betroffen sind:

  • Alle Versionen der GlobalProtect-App unter Windows vor Version 6.2.6.
  • Alle Versionen der GlobalProtect-App auf MacOS und Linux.
  • Alle Versionen der GlobalProtect-App 6.3, 6.1, 6.0 und 5.1.
  • GlobalProtect UWP-App für Windows.

Die Ausnutzung erfolgt lokal und erfordert niedrige Berechtigungen. Es ist keine Benutzerinteraktion notwendig. Der Angriffszugang liegt über ein unsicheres Zertifikatssystem, was zu Privilege Escalation führen kann.

Ein erfolgreicher Angriff kann:

  1. Die Installation bösartiger Root-Zertifikate auf Endgeräten ermöglichen.
  2. Schadsoftware einfügen, die von diesen Zertifikaten signiert ist, wodurch Systeme manipuliert und privilegierte Aktionen ausgeführt werden können.

Empfohlenes Update:

  • Installieren Sie GlobalProtect Version 6.2.6 oder höher auf betroffenen Windows-Systemen.
  • Beispiel für die Installation mit aktiviertem Zertifikatsvalidierungsmodus: msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY="yes"
  • Optional können Sie Zertifikatspeicher und -orte festlegen: msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY="yes" CERTSTORE="machine" CERTLOCATION="ROOT"
  • CERTSTORE-Optionen: “machine” (empfohlen) oder “user”.
  • CERTLOCATION-Optionen: “ROOT” (empfohlen), “MY”, “trustedpublisher” etc.

Workaround:

  • Aktivieren Sie den FIPS-CC-Modus in der GlobalProtect-App. Detaillierte Anweisungen sind in der Dokumentation von Palo Alto Networks zu finden.

Related Posts

WinZip Remote Code Execution Schwachstelle gefunden

Die Schwachstelle CVE-2024-8811, bekannt als WinZip Mark-of-the-Web Bypass Vulnerability, betrifft den Mechanismus zum Schutz von Dateien durch das Mark-of-the-Web (MotW) in der Software WinZip. Angreifer können die Sicherheitsmechanismen umgehen, was zu einem potenziellen Risiko für die Benutzer führt. Die Schwachstelle wurde am 22. November 2024 veröffentlicht und wird von der Zero Day Initiative (ZDI) unter der Referenz ZDI-CAN-23983 aufgeführt.

Read More

Datenleck bei Experian: Sicherheitslücke ermöglicht Zugriff auf Kreditauskünfte

Lilith Wittmann hat erneut eine gravierende Sicherheitslücke bei einem Kreditportal aufgedeckt, wie Sie auf Linkedin berichtete. Über das von smava betriebene Portal „scorekompass“ konnte sie am vergangenen Wochenende uneingeschränkten Zugriff auf die Kreditscores und Negativmerkmale aller in Deutschland gespeicherten Personen erhalten.

Read More

Kritische RCE Sicherheitslücke in GitHub CLI (CVE-2024-52308)

Am 14. November 2024 wurde eine schwerwiegende Sicherheitslücke in der GitHub CLI (GH CLI) bekannt gegeben, die Angreifern unter bestimmten Umständen Remote Code Execution (RCE) ermöglicht. Die Schwachstelle betrifft die Funktionen gh codespace ssh und gh codespace logs, wenn diese mit einem bösartigen Codespace-SSH-Server interagieren.

Read More