PAN-OS

Die Schwachstelle steckt in der GlobalProtect-Funktion der Firewall-Software PAN-OS von Palo Alto Networks und tritt nur bei bestimmten Software-Ständen und Konfigurationen dieser Funktion auf. Sie entsteht dadurch, dass ein Angreifer eine Datei mit beliebigem Inhalt anlegen kann, woraus sich eine Befehlsinjektion ergibt. Ausnutzen lässt sie sich aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer kann eigene Befehle einschleusen und auf der Firewall beliebigen Code mit Root-Rechten ausführen – also mit den höchsten Systemrechten und damit der vollständigen Kontrolle über das Gerät. Betroffen ist die lokal betriebene Firewall-Software; die Cloud-Variante Cloud NGFW, die Verwaltungs-Appliance Panorama sowie der Dienst Prisma Access sind nach Herstellerangaben nicht betroffen. Da GlobalProtect typischerweise direkt aus dem Internet erreichbar ist, ist die Funktion ein besonders exponierter Angriffspunkt.