Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞

admin 2025年1月1日21:29:39评论16 views字数 1240阅读4分8秒阅读模式

Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Palo Alto Networks 披露了一个影响 PAN-OS 软件的高危漏洞(CVE-2024-3393,CVSS 8.7),它可在易受攻击设备上引发拒绝服务 (DoS) 条件。
Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞

该漏洞影响 PAN-OS 10.X 和11.X 版本以及运行PAN-OS 10.2.8及后续或11.2.3之前版本的 Prisma Access。该漏洞已在 PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3以及后续PAN-OS版本中修复。

Palo Alto 公司上周五发布公告称,“Palo Alto Networks PAN-OS软件的DNS Security 特性中存在一个拒绝服务漏洞,可导致未认证攻击者通过负责重启防火墙的数据面板发送恶意数据包。反复触发该条件可导致防火墙进入维护模式。”

Palo Alto 公司表示在生产使用中发现了该缺陷,并发现客户“的防火墙拦截触发该问题的恶意DNS数据包时,经历了拒绝服务。”

这起攻击活动的范围目前尚不知晓。Palo Alto 公司证实称该漏洞已遭在野利用,“我们积极发布该公告,提供透明度并让客户获得保护自身环境安全的信息。”

值得注意的是,启用了DNS Security 日志记录功能的防火墙受该漏洞影响。另外如果访问权限是通过 Prisma Access 向已认证终端用户提供的,则该漏洞的CVSS严重性评分将至7.1分。

修复方案已扩展至其它常部署的维护发布版本中:

  • PAN-OS 11.1 (11.1.2-h16、11.1.3-h13、11.1.4-h7和11.1.5)

  • PAN-OS 10.2(10.2.8-h19、10.2.9-h19、10.2.10-h12、10.2.11-h10、 10.2.12-h4、10.2.13-h2和10.2.14)

  • PAN-OS 10.1 (10.1.14-h8 和10.1.15)

  • PAN-OS 10.2.9-h19 和 10.2.10-h12(仅适用于Prisma Access)

  • PAN-OS 11.0(该版本已在2024年11月17日达到生命周期,因此无修复方案)

作为未管理的防火墙或由 Panorama 管理的防火墙的应变措施和缓解措施,客户可将通过 Objects>Security Profiles>Anti-spyware>(选择一个配置)>DNS Policies>DNS Security,将每个 Anti-Spyware 配置的所有已配置DNS Security 类别的Log Severity 设为 “none”。

对于由 Strata Cloud Manager (SCM) 管理的防火墙,用户可按照如上步骤在每台设备上直接禁用 DNS Security 日志记录功能,或者通过打开支持案例的方式在所有设备上禁用。对于由SCM管理的Prisma Access 租户,建议打开支持案例关闭日志记录功能,等待执行升级。

原文始发于微信公众号(代码卫士):Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日21:29:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞https://cn-sec.com/archives/3572438.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息