Vulnerabilidad en el modo SSL/TLS Forward Proxy Decryption en la aplicación de políticas en las transacciones web HTTPS descifradas en la funcionalidad de filtrado de URL de PAN-OS (CVE-2020-2035)

Cuando se ha configurado el modo de descifrado SSL/TLS Forward Proxy para descifrar las transacciones web, la función de filtrado de URL de PAN-OS inspecciona las cabeceras HTTP Host y URL Path para la aplicación de políticas en las transacciones web HTTPS descifradas, pero no tiene en cuenta el campo Server Name Indication (SNI) dentro del handshake TLS Client Hello. Esto permite que un host comprometido en una red protegida evada cualquier política de seguridad que utilice el filtrado de URL en un cortafuegos configurado con descifrado SSL en el modo de proxy de reenvío. Un actor malicioso puede entonces utilizar esta técnica para evadir la detección de la comunicación en la fase de handshake TLS entre un host comprometido y un servidor remoto malicioso. Esta técnica no aumenta el riesgo de que un host se vea comprometido en la red. No afecta a la confidencialidad ni a la disponibilidad de un cortafuegos. Se considera que tiene un impacto bajo en la integridad del cortafuegos porque éste no aplica una política sobre cierto tráfico que debería haber sido bloqueado. Este problema no afecta a la aplicación de la política de filtrado de URL en las transacciones web de texto claro o cifrado. Esta técnica sólo puede utilizarse después de que un actor malicioso haya comprometido un host en la red protegida y la función de descifrado TLS/SSL esté habilitada para el tráfico que el atacante controla. Palo Alto Networks no tiene conocimiento de ningún malware que utilice esta técnica para exfiltrar datos. Este problema es aplicable a todas las versiones actuales de PAN-OS. Este problema no afecta a los dispositivos Panorama o WF-500