SECURITY ADVISORY

Unauth. Command Injection in Palo Alto Expedition

Ein nicht authentifizierter Angreifer aus dem Netz kann in Palo Altos Migrations-Software Expedition beliebige Betriebssystembefehle mit Root-Rechten ausführen. Dabei lassen sich Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Schlüssel der angebundenen PAN-OS-Firewalls auslesen. Die Lücke wird seit November 2024 aktiv ausgenutzt und steht im CISA-KEV-Katalog.

CVE-ID

cve-id

CVSS

cvss-2

Schweregrad

schweregrad

Hersteller

hersteller

Produkt

produkt

Veröffentlicht

veroffentlicht-am

CISA-KEV

cisa-kev

Advisory als PDF herunterladen
Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Cyber-Notfall? Soforthilfe
Vulnerability Management

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.

Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.