Asurgent Cybersäkerhetsblogg: Patch för DoS-sårbarhet i PAN-OS — uppdatera omedelbart, meddelar Palo Alto

Denna sårbarhet, med ett CVSS-betyg på 8.7, kan utnyttjas av hotaktörer för att orsaka en DoS-attack (Denial of Service) genom att skicka skadliga DNS-paket via brandväggens dataplan, vilket leder till omstarter av enheten och får brandväggen att gå i underhållsläge. Det är viktigt att notera att denna sårbarhet används aktivt just nu, vilket ökar risken för system som inte är skyddade.

Sårbarheten påverkade PAN-OS versionerna 10.X och 11.X, samt Prisma Access som kör dessa versioner. Palo Alto Networks upptäckte problemet under faktisk användning och har släppt uppdateringar för att åtgärda sårbarheten i följande versioner:

• PAN-OS 10.1 (10.1.14-h8 and 10.1.15)

• PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2, and 10.2.14)

• PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7, and 11.1.5)

• PAN-OS 10.2.9-h19 och 10.2.10-h12 (gäller endast Prisma Access)

• PAN-OS 11.0 (Ingen fix på grund av att den nått slutet av sin livscykel den 17 november 2024)

För att skydda sina system rekommenderas administratörer att omedelbart uppdatera till dessa versioner. För de som inte kan uppdatera omedelbart finns tillfälliga lösningar, såsom att inaktivera DNS Security-loggning genom att ställa in loggningsnivån till "none" för alla konfigurerade DNS Security-kategorier i Anti-Spyware-profiler.

Det är viktigt att notera att brandväggar med aktiverad DNS Security-loggning var särskilt utsatta för denna sårbarhet. Palo Alto Networks har uppmanat alla användare att vidta nödvändiga åtgärder för att säkerställa att deras system är skyddade mot potentiella attacker som utnyttjar denna sårbarhet.

Källor:

• CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet
• Palo Alto Releases Patch for PAN-OS DoS Flaw — Update Immediately