Palo Alto stopft hochriskante Lücken in PAN-OS und GlobalProtect

Palo Alto Networks hat Sicherheitsmitteilungen zu Schwachstellen in mehreren Produkten wie dem PAN-OS-Betriebssystem oder der GlobalProtect-App herausgegeben. Angreifer können die Sicherheitslücken missbrauchen, um Befehle einzuschleusen und mit erhöhten Rechten auszuführen, Schadcode einzuschleusen und auszuführen oder unbefugt Traffic einzusehen.

Der Hersteller spielt das Risiko der Sicherheitslücken in seinen Mitteilungen herunter, da er lediglich die Einstufung im Zeitverlauf (CVSS-BT) verwendet und nicht die für das akute Risiko (CVSS-B), das stets höher ist und das auch andere Hersteller verwenden. Im PAN-OS-Betriebssystem meldet Palo Alto drei Sicherheitslücken, von denen zwei hochriskant sind. Authentifizierte administrative User können aufgrund einer Befehlsschmuggel-Lücke Aktionen als „root“-Nutzer ausführen. Das Risiko ist größer, wenn das Management-Interface im Internet erreichbar ist (CVE-2025-4231 / noch kein EUVD, CVSS 8.6, Risiko „hoch„). PAN-OS 11.0.3 sowie 10.2.8 und neuer korrigieren das Problem.

Ähnlich gelagert ist die zweite Befehlsschmuggel-Lücke in PAN-OS, die zudem das Umgehen von Sicherheitsbeschränkungen ermöglicht und beliebige Befehle als „root“ ausführt. Angreifer müssen dafür authentifziert sein und Zugriff auf das Kommandozeilen-Interface haben (CVE-2025-4230 / noch kein EUVD, CVSS 8.4, Risiko „hoch„). PAN-OS 11.2.6, 11.1.10, 10.2.14 sowie 10.1.14-h15 und jeweils neuere bessern die Schwachstelle aus; Admins mit älteren Fassungen sollen auf diese unterstützten Versionen migrieren. Das SD-WAN-Feature von PAN-OS weist zudem eine Schwachstelle auf, durch die Unbefugte unverschlüsselte Daten einsehen können, die die Firewall durch das SD-WAN-Interface schickt (CVE-2025-4229, CVSS 6.0, Risiko „mittel„). PAN-OS 11.2.7 (soll im Juni erscheinen), 11.1.10, 10.2.17 und 10.1.14-h16 (im Juli erwartet) dichten das Leck ab.

GlobalProtect-Schwachstellen

Im VPN-Client GlobalProtect filtert die Log-Funktion unter macOS einige Zeichen nicht korrekt, wodurch nicht-Admins ihre Rechte zu „root“ ausweiten können (CVE-2025-4232, CVSS 8.5, Risiko „hoch„). Die GlobalProtect-App 6.3.3 und 6.2.8h2 (im Junin erwartet) für Mac stopfen die Lücke. Durch unzureichende Zugriffskontrolle können einige Pakete unverschlüsselt bleiben, anstatt ordentlich gesichert über den VPN-Tunnel zu laufen (CVE-2025-4227, CVSS 2.0, Risko „niedrig„). GlobalProtect 6.3.2-566, 6.3.3-h1 sowie 6.2.8-h2, die letzten beiden werden im Juni erwartet, für macOS und Windows bessern den Fehler aus.

Zudem ermöglicht eine Sicherheitslücke in Palo Alto Networks Cortex XDR Broker VM authentifizierten Admins, bestimmte Dateien in der Broker-VM auszuführen und dabei ihre Rechte auf „root“ auszuweiten (CVE-2025-4228 / noch kein EUVD, CVSS 4.6, Risiko „mittel„).

Die Sicherheitsmeldungen von Palo Alto Networks im Einzelnen:

• PAN-OS: Authenticated Admin Command Injection Vulnerability in the Management Web Interface, CVE-2025-4231, CVSS 8.6, Risiko „hoch„
• PAN-OS: Authenticated Admin Command Injection Vulnerability Through CLI, CVE-2025-4230, CVSS 8.4, Risiko „hoch„
• PAN-OS: Traffic Information Disclosure Vulnerability, CVE-2025-4229, CVSS 6.0, Risiko „mittel„
• GlobalProtect: Authenticated Code Injection Through Wildcard on macOS, CVE-2025-4232, CVSS 8.5, Risiko „hoch„
• GlobalProtect App: Interception in Endpoint Traffic Policy Enforcement, CVE-2025-4227, CVSS 2.0, Risiko „niedrig„
• Cortex XDR Broker VM: Privilege Escalation (PE) Vulnerability, CVE-2025-4228, CVSS 4.6, Risiko „mittel„

Zuletzt hatte Palo Alto Networks Mitte Mai mehrere Sicherheitslücken unter anderem im Firewall-Betriebssystem PAN-OS abgedichtet.

(dmk)