Los firewalls pueden verse afectados por el tráfico que procesan

Sí, definitivamente. Consulte el gusano Witty para ver un ejemplo de una vulnerabilidad en un producto de firewall que fue explotado por un gusano de red.

Los firewalls no son más que software y están afectados por el mismo defecto. Cuanto más complejo sea el firewall, más probable es que se introduzca un error.

Por ejemplo, es muy poco probable que un simple firewall de filtrado de puertos se vea afectado por el contenido de datos de los paquetes, pero puede verse afectado por cualquier cosa que esté en el encabezado de protocolo o IP (TCP / UDP / ICMP / etc.) mientras un firewall de inspección profunda de paquetes puede incluir un analizador vulnerable que podría ser explotado.

Otras posibilidades son (o podrían ser):

• agotar los recursos en el firewall, lo que lleva a una denegación de servicio, por ejemplo, Debido a la necesidad de mantener el estado de conexión
• Intoxicación de caché de DNS si el firewall intenta resolver las direcciones IP
• XSS en una página que niega la conexión HTTP
• romper o envenenar los registros del cortafuegos (bomba ANSI) o explotar un software que lee los registros

El significado de la palabra Firewall no está claramente definido. Los firewalls pueden ser desde simples filtros de paquetes hasta complejas inspecciones de nivel de aplicación. Cuanto más complejo es un firewall, mayor es su superficie de ataque y más tiene que protegerse.

Algunos ejemplos de posibles ataques contra un cortafuegos:

• Si el firewall realiza una exploración de virus, puede atacar el escáner de virus. Los escáneres tienen que trabajar con una variedad de formatos de entrada y, al igual que las aplicaciones que intentan proteger, están sujetos a errores. Por lo tanto, un firewall debe colocar el antivirus en sí mismo en algún tipo de zona protegida (chroot, jail, container, VM ...) para asegurarse de que los ataques contra el escáner no afecten la integridad del firewall.
• Ataques basados en la web contra el administrador: los cortafuegos crean archivos de registro y el administrador examina estos registros. A menudo, esto se hace a través de una interfaz web mientras se inicia sesión como administrador. Si los firewalls no logran escapar correctamente de todos los registros, es posible que un atacante cause un ataque CSRF o XSS manipulando una entrada de registro (como acceder a una URL específica a través del firewall, que luego se registra). Este ataque luego podría reconfigurar el firewall y hacer cosas como agregar otro usuario administrativo para el atacante.

Estos ataques no son solo teóricos. Hay informes de vulnerabilidades explotables en antivirus y CSRF y XSS en interfaces administrativas de cortafuegos.