Patches verfügbar

Fehlkonfiguration in Palo Altos Betriebssystem

Haben Sie eine Firewall des Herstellers Palo Alto im Einsatz, sollten Sie möglichst schnell das neueste Sicherheitsupdate installieren.
Von 
CSO | 30. August 2022 12:44 Uhr
Eine Fehlkonfiguration im Betriebssystem macht die Firewalls des US-Herstellers Palo Alto anfällig für DoS-Angriffe.
Eine Fehlkonfiguration im Betriebssystem macht die Firewalls des US-Herstellers Palo Alto anfällig für DoS-Angriffe.
Foto: Petr Bonek - shutterstock.com

Der Sicherheitsanbieter Palo Alto Networks hat in seinem Betriebssystem PAN-OS eine Schwachstelle entdeckt. Die Sicherheitslücke CVE-2022-0028 wurde von der CISA mit dem Schweregrad 8,6 (von 10) eingestuft, denn sie ermöglicht es den Angreifern, sogenannte Reflection-Denial-of-Service-Angriffe zu starten.

Was ist ein Reflection-DoS-Angriff?

Bei einem Reflection-Angriff wird das Opfer nicht direkt angegriffen, wie die Allianz für Cybersicherheit erklärt. Stattdessen spielt der Angreifer "über Bande": Dafür sendet er eine Anfrage mit gefälschter Absenderadresse an ein System. Für die Absenderadresse wählt er die Adresse des Systems, welches er lahmlegen möchte. Dementsprechend erhält das Opfersystem die Antworten auf die Anfragen des Hackers. Da die Antwortpakete viel größer sind als die Anfragen, ist es dem Cyberkriminellen möglich, mit wenig eigener Bandbreite viel Schaden zu verursachen.

Patches für PAN-Firewalls verfügbar

Grund für die Anfälligkeit ist eine Fehlkonfiguration in der URL-Filterrichtlinie des Betriebssystems, das auf den Firewalls läuft. Sie betrifft mehrere Modelle der PA-Serie (Hardware), der VM-Serie (virtuelle Maschinen) und CN-Serie (Container). Ein Hacker kann die Schwachstelle ausnutzen und dadurch seine Identität während eines Angriffs verbergen.

Wie Palo Alto in einem Sicherheitshinweis zur Schwachstelle schreibt, habe der Hersteller umgehend Maßnahmen ergriffen, um das Problem in der PAN-OS-Software zu beheben. Online stellt Palo Alto alle Informationen darüber bereit, welche Firewall-Modelle betroffen sind sowie die dazugehörigen Patches.

Lesetipp: Patch-Pflicht für US-Behörden

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.