Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en la política de filtrado de URL de PAN-OS (CVE-2022-0028)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/08/2022
Última modificación:
07/02/2025

Descripción

Una mala configuración de la política de filtrado de URL de PAN-OS podría permitir a un atacante basado en la red conducir ataques de denegación de servicio TCP reflejados y amplificados (RDoS). El ataque de denegación de servicio parecería originarse desde un firewall de la serie PA (hardware), la serie VM (virtual) y la serie CN (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante. Para que un atacante externo haga un uso no debido, la configuración del firewall debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una zona de origen que tenga una interfaz de cara al exterior. Esta configuración no es típica para el filtrado de URL y, si es establecido, es probable que no sea intencionada por el administrador. Si es explotado, este problema no afectaría a la confidencialidad, integridad o disponibilidad de nuestros productos. Sin embargo, el ataque de denegación de servicio (DoS) resultando puede ayudar a ofuscar la identidad del atacante e implicar al firewall como la fuente del ataque. Hemos tomado medidas rápidas para abordar este problema en nuestro software PAN-OS. Es esperado que todas las actualizaciones de software para este problema sean publicadas a más tardar en la semana del 15 de agosto de 2022. Este problema no afecta a dispositivos virtuales de Panorama M-Series o Panorama. Este problema ha sido resuelto para todos los clientes de Cloud NGFW y Prisma Access y no es requerida ninguna acción adicional por su parte

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.60
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 8.1.0 (incluyendo) 8.1.23 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.0.16 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 9.1.0 (incluyendo) 9.1.14 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 10.0.0 (incluyendo) 10.0.11 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 10.1.0 (incluyendo) 10.1.6 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:*:*:*:*:*:*:*:* 10.2.0 (incluyendo) 10.2.2 (excluyendo)
cpe:2.3:o:paloaltonetworks:pan-os:8.1.23:-:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:9.0.16:-:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:9.0.16:h2:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:9.1.14:-:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:9.1.14:h1:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:10.0.11:*:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:10.1.6:*:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:10.1.6:h3:*:*:*:*:*:*
cpe:2.3:o:paloaltonetworks:pan-os:10.2.2:-:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información