Palo Alto Networks waarschuwt bedrijven en organisaties om de configuratie van hun firewall te controleren, aangezien sommige klanten de firewall verkeerd hebben ingesteld waardoor User-ID-gegevens kunnen lekken, wat in het ergste geval tot een succesvolle aanval op het netwerk kan leiden.

De User-ID-feature is een optioneel onderdeel van Palo Alto Networks waarmee netwerkbeheerders kunnen bepalen wat verschillende gebruikers mogen doen als ze door de firewall gefilterd worden. Sommige organisaties bleken User-ID voor externe en onbetrouwbare zones te hebben ingesteld. Zo is het mogelijk voor een externe aanvaller om een security-event op de firewall te veroorzaken, waarbij er een uitgaande SMB-verbinding van User-ID naar het IP-adres van de aanvaller wordt opgezet. Zodoende kan de aanvaller de gebruikersnaam, domeinnaam en versleutelde wachtwoordhash (meestal in het NetNTLM-formaat) bemachtigen van het account waarvoor User-ID is ingesteld.

Daarnaast kan een aanvaller standaard tools gebruiken om de authenticatie naar bijvoorbeeld een VPN, webserver of webmaildienst van de organisatie door te leiden en zo hier toegang toe te krijgen. Aangezien de feature verhoogde rechten vereist is het lekken van de versleutelde wachtwoordhash een serieus probleem en kan een organisatie aan een succesvolle aanval van buiten blootstellen, zo waarschuwt beveiligingsbedrijf Rapid 7 dat het probleem ontdekte.

Volgens het bedrijf gaat het niet om een beveiligingslek in de normale zin, maar is het wel zo'n groot probleem dat besloten werd om gebruikers te waarschuwen. Inmiddels heeft ook Palo Alto Networks een advisory online gezet waarin het klanten voor de verkeerde configuratie waarschuwt.