CVE-2020-2035

Versões do PAN-OS anteriores à 10.1

O recurso de filtragem de URL do PAN-OS não leva em consideração o campo Server Name Indication (SNI) no handshake TLS Client Hello quando o modo de descriptografia de proxy de reencaminhamento SSL/TLS está ativado. Isso permite que um host comprometido em uma rede protegida contorne políticas de segurança que utilizam filtragem de URL em um firewall configurado com Decodificação SSL no modo Proxy de Reencaminhamento. Um agente mal-intencionado pode usar essa técnica para evitar a detecção da comunicação na fase de handshake TLS entre um host comprometido e um servidor mal-intencionado remoto. Esse problema tem baixo impacto na integridade do firewall, pois ele não consegue aplicar uma política a determinado tráfego que deveria ter sido bloqueado. A Palo Alto Networks não tem conhecimento de nenhum malware que utilize essa técnica para extrair dados.

Para versões do PAN-OS anteriores à 10.1, considere habilitar a inspeção CTD na configuração do dispositivo para mitigar esse problema.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade nas versões anteriores à 10.1 sem a inspeção CTD habilitada.