CVE-2025-4619: DoS-Schwachstelle betrifft PAN-OS-Systeme

Palo Alto Networks warnt vor einer Denial-of-Service-Schwachstelle in PAN-OS, die Angreifern die Möglichkeit bietet, Firewalls durch speziell präparierte Pakete zum Neustart zu zwingen. Wiederholte Angriffe können die Systeme sogar in den Wartungsmodus versetzen – mit potenziell erheblichen Auswirkungen auf die Netzwerkverfügbarkeit.

Angriffsmechanismus: Neustart durch bösartig gestaltete Datenebenen-Pakete

Die Schwachstelle (CVE-2025-4619) erlaubt es nicht authentifizierten Angreifern, manipulierte Pakete an die Datenebene einer betroffenen Firewall zu senden. Bereits ein solches Paket kann einen Neustart auslösen. Werden die Angriffe wiederholt, versetzt sich die Firewall in den Wartungsmodus und fällt vorübergehend komplett aus.

Bewertet wurde die Schwachstelle mit einem CVSS-v4.0-Score von 6,6 (Medium) und einem Basis-Score von 8,7, was die erhebliche potenzielle Betriebsunterbrechung widerspiegelt.

Betroffene Produkte und Versionen

Die Sicherheitslücke betrifft:

PAN-OS-Versionen auf Firewalls der PA-Serie
VM-Series-Firewalls
Prisma Access

Nicht betroffen ist Cloud NGFW.

Palo Alto Networks hat nach eigenen Angaben das Upgrade für die meisten Prisma-Access-Kunden bereits abgeschlossen. Für Kunden mit kollidierenden Wartungsfenstern oder Sonderkonfigurationen werden Updates im regulären Upgrade-Prozess eingeplant.

Grafik Quelle: Palo Alto

Voraussetzung für die Verwundbarkeit: Konfigurierter Proxy oder Entschlüsselung

Die Schwachstelle tritt nur auf, wenn mindestens eine der folgenden Konfigurationen aktiv ist:

URL-Proxy
Entschlüsselungsrichtlinie

Das Problem kann auftreten, unabhängig davon, ob der betroffene Datenverkehr tatsächlich entschlüsselt, explizit nicht entschlüsselt oder von keiner spezifischen Entschlüsselungsrichtlinie erfasst wird.

Aktueller Ausnutzungsstatus: Noch keine Angriffe bekannt

Bislang liegen keine Hinweise auf aktive Ausnutzung der Schwachstelle vor. Dennoch sollten Unternehmen die Updates priorisieren, da die Angriffsvoraussetzungen niedrig sind und kein Authentifizierungsmechanismus überwunden werden muss.

Empfehlung: Schnelles Update und Policy-Prüfung

Security-Teams sollten:

Verfügbare PAN-OS-Updates zeitnah installieren.
Proxy- und Entschlüsselungskonfigurationen prüfen, um das potenzielle Risiko zu bewerten.
Monitoring und Logging aktivieren, um ungewöhnliche Neustarts schnell zu erkennen.
Wartungsfenster planen, falls ein Update noch aussteht.

CVE-2025-4619 zeigt erneut, wie wichtig es ist, Datenebenen-Traffic engmaschig abzusichern und sicherheitsrelevante Features wie Proxy- und Decryption-Engines regelmäßig auf Schwachstellen zu prüfen.

Das sollten Sie sich ansehen: