Kurze Frage in die Runde der Administratoren von Palo Alto Firewalls. Mir ist eine Warnung untergekommen, dass es in PanOS (betroffen sind 10.2 und 11.1.4-h7/h9) zu mysteriösen Neustarts kommen kann.
Auf reddit.com gibt es den Post Unexpected reboots/restarts PanOS 11.1.4-h7/h9, der vor diesem Problem warnt. Der Thread-Starter schreibt, dass es einen Fehler in den erwähnten PanOS-Versionen gibt, der zu einem zufälligen Neustart der Firewall führen kann.
Geht man den Thread durch, bestätigen andere Administratoren diese Beobachtung. Einer schreibt: „Ja, in den letzten Monaten sind 3 unserer 8 Firewalls unerwartet neu gestartet.“ Ein weiterer Nutzer gibt an, das gleiche Verhalten, aber auf PanOS 10.2 beobachtet zu haben.
Laut Thread-Starter und weiteren Postern plant Palo Alto einen Fix für März 2025 (nicht offiziell bestätigt). Es ist von einem 11.1.4-hx Hotfix die Rede. Ein weiterer Poster schreibt: ETA for 10.2.14 is 6th of March 2025(3/6/2025) und gibt folgende PanOS-Versionen als Fixes an: 10.2 : 10.2.11-h8, 10.2.9-h20, 10.2.10-h13, 10.2.8-h20, 10.2.11-h11, 10.2.12-h5, 10.2.13-h3, 10.2.14-h? 11.1 : 11.1.2-h17, 11.1.4-h12, 11.2.4-h4, 11.1.6-h1, 11.1.7, 11.1.8, 11.2.5.
The Register hat das Thema in diesem Beitrag aufgegriffen und schreibt, dass Palo Alto mitgeteilt habe, dass ein Patch verfügbar ist, wenn auch derzeit nur in begrenztem Umfang. Die Neustarts werden durch einen bestimmten Netzwerkverkehr verursacht. The Register zitiert einen Palo Alto-Sprecher mit:
Der Hotfix 11.1.4-h12, der das Problem des unerwarteten Neustarts behebt, wurde am 31. Januar 2025 zunächst mit eingeschränkter Verfügbarkeit ausgeliefert. Diese Version wurde Kunden zur Verfügung gestellt, die eine sofortige Lösung benötigen, die über ihr Account-Team zugänglich ist.
Wir validieren derzeit eine zusätzliche, nicht mit dem Problem zusammenhängende Regressionskorrektur in Hotfix 11.1.4-h13. Unser Ziel ist es, dieses Update bis zum 20. Februar oder noch früher als allgemein verfügbares Update zu veröffentlichen. Damit stellen wir sicher, dass alle Systeme mit den neuesten Updates vollständig optimiert und sicher sind.
Jemand aus der Leserschaft von diesem Thema betroffen?
Gibt seit gestern eine 11.1.6-h1, in der ein Reboot Problem gefixt sein soll. Zudem sind dort einige Sicherheitslücken geschlossen.
ja, es gibt einen Fix für einen Bug, allerdings gibt’s da etliche weitere Ursachen. Die Firewalls kann man aktuell nur im HighAvailability betreiben und dennoch kommt es zu seltene Aussetzer die für mehrere Minuten das Netzwerk mitreißen können bis es dann auf die andere Firewall umspringt.
ACHTUNG: in 11.1.6-H1 ist der IPv6 Stack buggy und nicht verwendbar lt. div. Berichten gibt’s deshalb schon die ersten Downgrades.
Ok, wir nutzen kein IPv6 an der Stelle, daher bisher ohne Probleme, aber danke für den Hinweis.
Reboots hatte ich bisher auch nicht in den letzten Monaten auf allen Firewalls, aber vielleicht nutzen wir einfach bestimmte Funktionen nicht, die diese Reboots auslösen.
Egal welchen Firewall Hersteller man nimmt, Probleme haben sie alle. Heute ist es Palo, gestern Forti und morgen vielleicht Cisco…
was macht das „vielleicht“ denn da im Satz … :D.
Und: Du hast Citrix und Ivanti vergessen.
Bei Cisco untersucht man aktuell einen mutmaßlichen Datenabfluss durch Ransomware: Forbes Was Cisco Just Hit By Ransomware? What Happened And What To Do.
Die Codequalität hat leider seit 10.1 massiv abgenommen, dazu immer wieder memory leaks und reboot Fehler seit vielen, vielen Monaten immer Mal wieder. Betrifft daher leider nicht nur 10.2 und 11.1.
Passt vll. zu Symptomen: Shadowserver und Golem berichten über signifikanten Anstieg von Brute-Force-Attacken auf Devices von Palo Alto, Ivanti und Sonicwall seit Januar.