Se ha descubierto una vulnerabilidad de denegación de servicio (DoS) de alta gravedad, identificada como CVE-2024-3393, en la función de seguridad de DNS de PAN-OS de Palo Alto Networks.
Esta falla permite que atacantes no autenticados envíen paquetes especialmente diseñados que pueden bloquear los firewalls y potencialmente interrumpir las operaciones. Las organizaciones que utilicen las versiones afectadas deben actuar con rapidez para mitigar el riesgo.
Detalles de la vulnerabilidad e impacto
La vulnerabilidad surge cuando un paquete malicioso se procesa a través del plano de datos del firewall, lo que hace que el sistema se reinicie.
La explotación repetida podría obligar al firewall a entrar en modo de mantenimiento, lo que afectaría significativamente la disponibilidad.
El problema tiene una puntuación CVSS de 8,7 (ALTO), con una complejidad de ataque baja y que no requiere autenticación.
Características clave de la vulnerabilidad
- Vector de ataque: Basado en red
- Privilegios requeridos: Ninguno
- Interacción del usuario: Ninguna
- Impacto: Alto en disponibilidad; sin efecto en la confidencialidad o integridad.
Palo Alto Networks ha confirmado la explotación en entornos de producción, enfatizando la urgencia de remediarlo.
Productos y versiones afectados
La vulnerabilidad afecta a varias versiones de PAN-OS cuando está habilitado el registro de seguridad de DNS.
Las versiones afectadas incluyen:
- PAN-OS 11.2: Inferior a 11.2.3
- PAN-OS 11.1: Inferior a 11.1.5
- PAN-OS 10.2: Por debajo de 10.2.10-h12 y 10.2.13-h2
- PAN-OS 10.1: Inferior a 10.1.14-h8
- Prisma Access: Afectado al ejecutar versiones vulnerables de PAN-OS
Los productos Cloud NGFW no se ven afectados.
Mitigación y soluciones
Palo Alto Networks ha lanzado parches para solucionar el problema en las siguientes versiones:
- PAN-OS 10.1.14-h8 y posteriores
- PAN-OS 10.2.10-h12, 10.2.13-h2 (ETA: 31 de diciembre) y posteriores
- PAN-OS 11.1.5 y posteriores
- PAN-OS 11.2.3 y posteriores
