PAN-OS

Die Schwachstelle steckt in der DNS-Security-Funktion der Firewall-Software PAN-OS von Palo Alto Networks und führt zu einer Dienstblockade (Denial of Service). Ursache ist ein Fehler beim Auswerten und Protokollieren bösartig gestalteter DNS-Pakete. Ein Angreifer kann ein solches präpariertes Paket über die Datenebene der Firewall – also über den normalen Verarbeitungsweg des Netzwerkverkehrs – einschleusen und damit einen Neustart des Geräts auslösen. Dafür sind weder gültige Zugangsdaten noch eine vorherige Anmeldung nötig, und der Angriff lässt sich aus der Ferne durchführen. Schickt der Angreifer wiederholt solche Pakete, startet die Firewall nicht einfach nur neu, sondern wechselt schließlich in den Wartungsmodus und steht dann für den regulären Betrieb nicht mehr zur Verfügung. Da eine Firewall den gesamten über sie laufenden Datenverkehr absichert, kann ihr Ausfall die Erreichbarkeit und den Schutz des dahinterliegenden Netzes erheblich beeinträchtigen.