Palo Alto Networks ha revelado una vulnerabilidad de alta gravedad que afecta al software PAN-OS y que podría provocar una condición de denegación de servicio (DoS) en dispositivos susceptibles.
La falla, rastreada como CVE-2024-3393 (puntuación CVSS: 8,7), afecta a las versiones PAN-OS 10.X y 11.X, así como a Prisma Access que ejecuta versiones PAN-OS. Se ha solucionado en PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 y todas las versiones posteriores de PAN-OS.
“Una vulnerabilidad de denegación de servicio en la función de seguridad DNS del software PAN-OS de Palo Alto Networks permite que un atacante no autenticado envíe un paquete malicioso a través del plano de datos del firewall que reinicia el firewall”, dijo la compañía. dicho en un aviso del viernes.
“Los intentos repetidos de activar esta condición harán que el firewall entre en modo de mantenimiento”.
Palo Alto Networks dijo que descubrió la falla en el uso de producción y que está consciente de que los clientes “experimentan esta denegación de servicio (DoS) cuando su firewall bloquea paquetes DNS maliciosos que desencadenan este problema”.
Por el momento se desconoce el alcance de la actividad. The Hacker News se comunicó con Palo Alto Networks para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Vale la pena señalar que los firewalls que tienen habilitado el registro de seguridad DNS se ven afectados por CVE-2024-3393. La gravedad de la falla también cae a una puntuación CVSS de 7,1 cuando el acceso solo se proporciona a usuarios finales autenticados a través de Prisma Access.
Las correcciones también se han extendido a otras versiones de mantenimiento comúnmente implementadas:
- PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 y 11.1.5)
- PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 y 10.2.14)
- PAN-OS 10.1 (10.1.14-h8 y 10.1.15)
- PAN-OS 10.2.9-h19 y 10.2.10-h12 (solo aplicable a Prisma Access)
- PAN-OS 11.0 (sin solución debido a que alcanzó el estado de fin de vida útil el 17 de noviembre de 2024)
Como soluciones alternativas y mitigaciones para firewalls no administrados o aquellos administrados por Panorama, los clientes tienen la opción de configurar la gravedad del registro en “ninguno” para todas las categorías de seguridad DNS configuradas para cada Perfil antispyware navegando a Objetos > Perfiles de seguridad > Anti-spyware > (seleccione un perfil) > Políticas DNS > Seguridad DNS.
Para los firewalls administrados por Strata Cloud Manager (SCM), los usuarios pueden seguir los pasos anteriores para deshabilitar el registro de seguridad DNS directamente en cada dispositivo o en todos ellos abriendo un caso de soporte. Para los inquilinos de Prisma Access administrados por SCM, se recomienda abrir un caso de soporte para desactivar el registro hasta que se lleve a cabo una actualización.
About the Author
