PAN-OS

Die Schwachstelle betrifft die URL-Filterung in der Firewall-Software PAN-OS von Palo Alto Networks. Bei einer bestimmten Fehlkonfiguration kann ein netzwerkbasierter Angreifer die Firewall missbrauchen, um reflektierte und verstärkte TCP-Denial-of-Service-Angriffe (RDoS) gegen ein frei wählbares Ziel zu führen. Der Angriff scheint dann von der Firewall auszugehen – betroffen sind die Hardware-, virtuellen und container-basierten Firewall-Varianten. Voraussetzung ist, dass ein URL-Filterprofil mit gesperrten Kategorien einer Quellzone mit nach außen gerichteter Schnittstelle zugewiesen ist; diese Konstellation ist für die URL-Filterung untypisch und vom Administrator vermutlich nicht beabsichtigt. Vertraulichkeit, Integrität und Verfügbarkeit der Firewall selbst bleiben unberührt. Der eigentliche Schaden trifft Dritte: Der ausgelöste Datenstrom verschleiert die Identität des Angreifers und lässt die Firewall fälschlich als Urheber des Angriffs erscheinen. Die zentrale Verwaltung Panorama ist nicht betroffen.