PAN-OS

Die Schwachstelle steckt in der webbasierten Management-Oberfläche der Firewall-Software PAN-OS von Palo Alto Networks, über die die Geräte administriert werden. Es handelt sich um eine Befehlsinjektion auf Betriebssystemebene: Ein bereits angemeldeter PAN-OS-Administrator mit Zugriff auf diese Verwaltungsoberfläche kann eigene Betriebssystembefehle einschleusen und so seine Rechte ausweiten. Im Ergebnis lassen sich Aktionen auf der Firewall mit Root-Rechten ausführen – also mit den höchsten Systemrechten und damit der vollständigen Kontrolle über das Gerät. Betroffen ist nicht nur die klassische Firewall, sondern mehrere PAN-Produkte mit dieser Oberfläche, darunter auch VPN-Konzentratoren. Die Cloud-Variante Cloud NGFW sowie der Dienst Prisma Access sind nach Herstellerangaben nicht betroffen. Besonders kritisch wird die Lücke dort, wo die Management-Oberfläche aus nicht vertrauenswürdigen Netzen erreichbar ist, da der Angriffsweg dann unmittelbar offensteht.