Неправильная конфигурация политики фильтрации URL-адресов PAN-OS может позволить злоумышленнику, находящемуся в сети, проводить отраженные …

Неправильная конфигурация политики фильтрации URL-адресов PAN-OS может позволить злоумышленнику, находящемуся в сети, проводить отраженные и усиленные TCP-атаки типа «отказ в обслуживании» (RDoS). Атака DoS будет казаться исходящей от аппаратного (PA-Series), виртуального (VM-Series) и контейнерного (CN-Series) брандмауэра Palo Alto Networks на указанную злоумышленником цель. Чтобы подвергнуться злоупотреблению внешним злоумышленником, конфигурация брандмауэра должна иметь профиль фильтрации URL-адресов с одной или несколькими заблокированными категориями, назначенными исходной зоне, имеющей внешний интерфейс. Эта конфигурация не является типичной для фильтрации URL-адресов и, если она установлена, вероятно, не предназначена для администратора. В случае эксплуатации эта проблема не повлияет на конфиденциальность, целостность или доступность наших продуктов. Однако результирующая атака типа «отказ в обслуживании» (DoS) может помочь скрыть личность злоумышленника и причастность брандмауэра в качестве источника атаки. Мы предприняли оперативные меры для решения этой проблемы в нашем программном обеспечении PAN-OS. Все обновления программного обеспечения для решения этой проблемы, как ожидается, будут выпущены не позднее недели 15 августа 2022 года. Эта проблема не затрагивает устройства Panorama M-Series или виртуальные устройства Panorama. Эта проблема решена для всех клиентов Cloud NGFW и Prisma Access, и от них не требуется никаких дополнительных действий.