Palo Alto brengt patch uit voor PAN-OS DoS-fout – update onmiddellijk

Palo Alto Networks heeft een zeer ernstige kwetsbaarheid bekendgemaakt die van invloed is op PAN-OS-software en die een denial-of-service (DoS)-toestand kan veroorzaken op gevoelige apparaten.

De fout, bijgehouden als CVE-2024-3393 (CVSS-score: 8,7), heeft gevolgen voor PAN-OS-versies 10.X en 11.X, evenals voor Prisma Access met PAN-OS-versies. Het is aangepakt in PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 en alle latere PAN-OS-versies.

“Een Denial-of-Service-kwetsbaarheid in de DNS-beveiligingsfunctie van Palo Alto Networks PAN-OS-software stelt een niet-geverifieerde aanvaller in staat een kwaadaardig pakket door het datavlak van de firewall te sturen die de firewall opnieuw opstart”, aldus het bedrijf in een advies van vrijdag. .

“Herhaalde pogingen om deze toestand te activeren zullen ervoor zorgen dat de firewall naar de onderhoudsmodus gaat.”

Palo Alto Networks zei dat het de fout in het productiegebruik heeft ontdekt en dat het op de hoogte is van klanten “die deze denial-of-service (DoS) ervaren wanneer hun firewall kwaadaardige DNS-pakketten blokkeert die dit probleem veroorzaken.”

De omvang van de activiteit is momenteel nog niet bekend. The Hacker News heeft contact opgenomen met Palo Alto Networks voor verder commentaar, en we zullen het verhaal bijwerken als we iets horen.

Het is de moeite waard erop te wijzen dat firewalls waarvoor DNS Security-logboekregistratie is ingeschakeld, worden beïnvloed door CVE-2024-3393. De ernst van de fout daalt ook naar een CVSS-score van 7,1 wanneer er alleen toegang wordt verleend aan geauthenticeerde eindgebruikers via Prisma Access.

De oplossingen zijn ook uitgebreid naar andere veelgebruikte onderhoudsreleases:

  • PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 en 11.1.5)
  • PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 en 10.2.14)
  • PAN-OS 10.1 (10.1.14-h8 en 10.1.15)
  • PAN-OS 10.2.9-h19 en 10.2.10-h12 (alleen van toepassing op Prisma Access)
  • PAN-OS 11.0 (geen oplossing vanwege het bereiken van de einde levensduur op 17 november 2024)

Als tijdelijke oplossing en oplossing voor onbeheerde firewalls of firewalls die worden beheerd door Panorama, hebben klanten de mogelijkheid om de log-ernst in te stellen op ‘geen’ voor alle geconfigureerde DNS-beveiligingscategorieën voor elk antispywareprofiel door te navigeren naar Objecten > Beveiligingsprofielen > Anti-spyware > ( selecteer een profiel) > DNS-beleid > DNS-beveiliging.

Voor firewalls die worden beheerd door Strata Cloud Manager (SCM), kunnen gebruikers de bovenstaande stappen volgen om DNS Security-logboekregistratie rechtstreeks op elk apparaat uit te schakelen, of op alle apparaten door een ondersteuningsaanvraag te openen. Voor Prisma Access-tenants die worden beheerd door SCM, wordt aanbevolen een ondersteuningsaanvraag te openen om logboekregistratie uit te schakelen totdat een upgrade is uitgevoerd.

Thijs Van der Does