L’analyse de la protection contre les menaces et de la protection avancée contre les menaces est ignorée lorsque les ID d’application personnalisés sont configurés pour le trafic inconnu

• L’ID d’application personnalisé est configuré pour identifier le trafic inconnu (unknown-req-tcp-payload, unknown-rsp-tcp-payload, unknown-req-udp-payload, unknown-rsp-udp-payload)
• ET
• Le paramètre « Poursuivre l’analyse à la recherche d’autres applications » est activé dans l’ID d’application personnalisé, OU le profil « Protection contre les vulnérabilités » est attaché à la stratégie de sécurité pour autoriser le trafic identifié avec ces ID d’application personnalisés.

• Pare-feu de Palo Alto.
• PAN-OS 9.1 et versions ultérieures.
• Id d’application personnalisé
• Protection des vulnérabilités

Comment puis-je savoir si je suis touché?

• Étape 1 : Accédez à l’interface utilisateur Panorama ou FW et recherchez les ID d’application personnalisés à l’aide d’un trafic inconnu (interface graphique : Objets > applications > Utiliser le bouton déroulant pour sélectionner « Applications personnalisées ».

• Cliquez sur l’application pour vérifier le « contexte ». L’exemple ci-dessous montre une application personnalisée configurée avec un contexte de charge utile udp inconnu pour la signature définie.  

• Étape 2 : Vérifiez si le paramètre « Continuer la recherche d’autres applications » est activé.
  
  
  Étape 3 : Vérifiez si le profil de vulnérabilité est attaché à la règle de stratégie de sécurité qui autorise l’ID
  
  
  
  d’application personnalisé Si l’étape 1 a la valeur TRUE et que l’étape 2 ou l’étape 3 est TRUE, le pare-feu est affecté par le correctif. Poursuivez votre lecture pour savoir comment vous préparer au correctif.

Comment se préparer à la réparation ?

Passez en revue tous les ID d’application personnalisés pour voir s’ils répondent aux conditions mentionnées ci-dessus. Utilisez l’une des options ci-dessous pour vous préparer.

• Option 1 (recommandée) : Tester le trafic d’ID d’application personnalisé dans le laboratoire :
  1. Capturez le trafic identifié par cet ID d’application personnalisé, détaillé ici.
  2. Relisez le pcap dans un environnement lab sur un FW sans l’ID d’application personnalisé.
  3. Si le trafic est identifié comme unknown-tcp ou unknown-udp, il ne devrait pas y avoir d’impact (après l’installation de la mise à jour de contenu, ce trafic continuera d’être identifié avec votre ID d’application personnalisé).
  4. Si le trafic est identifié avec un autre ID d’application, ajoutez ce nouvel ID d’application dans la règle de stratégie de sécurité pour autoriser ce trafic.
• Option 2 : Utiliser des filtres d’application
• Cette option est utile pour les clients qui comprennent en toute confiance leur trafic d’ID d’application personnalisé, par exemple, la catégorie et la sous-catégorie dans lesquelles il s’inscrit. 
  1. Créez un filtre d’application pour la catégorie et la sous-catégorie d’applications dans lesquelles l’ID d’application personnalisé s’intègre. Par exemple, si le trafic d’ID d’application personnalisé est lié aux protocoles OT/ICS, utilisez le filtre d’ID d’application qui sélectionnera tous les ID d’application de la sous-catégorie « protocoles ICS ».
  2. Ensuite, attachez ce filtre à la règle de stratégie de sécurité avec l’action « Autoriser » et placez-le en bas de votre ensemble de règles de stratégie.
  3. Mettez à jour les applications et les menaces (contenu).
  4. Quelques jours après l’installation de la mise à jour de contenu, consultez les statistiques d’utilisation des règles dans Policy Optimizer. Si le trafic est identifié avec un autre ID d’application, ajoutez ce nouvel ID d’application dans la règle de stratégie de sécurité pour autoriser ce trafic.
  5. Retirez le filtre d’application, lorsque vous avez terminé.

Assurez-vous d’appliquer le correctif avant la mise à jour Applications et menaces (contenu) prévue le 17 octobre 2023