For våre kunder som har et oppsett med regelsett som tillater trafikk fra Internett til innsidesoner med URL-kategori som matchkriteria i regelsettet er dette en viktig sårbarhet å rettet opp.
PAN-OS URL-filtrering kan tillate en nettverksbasert angriper å utføre reflekterte og forsterkede TCP-denial-of-service-angrep (RDoS). Dette gjelder Palo Alto Networks PA-Series (maskinvare), VM-Series (virtuell) og CN-Series (container).
For å bli misbrukt må brannmurkonfigurasjonen ha en URL-filtreringsprofil med én eller flere blokkerte kategorier tilordnet en sikkerhetsregel med en sone fra Internett.
Hotfix for alle som kjører 10.1.X.
For alle andre PAN-OS kommer oppdatering i løpet av uke 33
For å unngå DoS-angrep relatert til sårbarheten kan man aktivere en av to mulige Zone Protection beskyttelser:
- Packet-based attack protection including both (Packet Based Attack Protection > TCP Drop > TCP SYN with Data) and (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open)
- Flood protection (Flood Protection > SYN > Action > SYN Cookie) with an activation threshold of 0 connections.
NB! Det er ikke nødvendig eller fordelaktig å bruke både Packet- og Attach protection.
Alternativt kan man oppgradere til 10.1.6.H6 dersom det er mulig.
Les mer
