Palo Alto 发布 PAN-OS DoS 漏洞补丁 — 立即更新
Palo Alto Networks 披露了一个影响 PAN-OS 软件的高严重性漏洞,该漏洞可能导致易受攻击的设备出现拒绝服务 (DoS) 情况。
Palo Alto Networks 披露了一个影响 PAN-OS 软件的高严重性漏洞,该漏洞可能导致易受攻击的设备出现拒绝服务 (DoS) 情况。
该漏洞编号为 CVE-2024-3393(CVSS 评分:8.7),影响 PAN-OS 版本 10.X 和 11.X,以及运行 PAN-OS 版本 10.2.8 及更高版本或 11.2.3 之前的 Prisma Access。该漏洞已在 PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3 以及所有更高版本的 PAN-OS 中得到解决。
该公司在周五的公告中表示:“Palo Alto Networks PAN-OS 软件的 DNS 安全功能中存在拒绝服务漏洞,允许未经身份验证的攻击者通过防火墙的数据平面发送恶意数据包,从而重新启动防火墙。”
“反复尝试触发此情况将导致防火墙进入维护模式。”
Palo Alto Networks 表示,它在生产使用中发现了该漏洞,并且意识到客户“在防火墙阻止触发此问题的恶意 DNS 数据包时会遭遇拒绝服务 (DoS) 攻击”。
目前尚不清楚该活动的规模。Hacker News 已联系 Palo Alto Networks 寻求进一步评论,如果收到回复,我们将更新该报道。
值得指出的是,启用了 DNS 安全日志记录的防火墙受到 CVE-2024-3393 的影响。此外,当仅通过 Prisma Access 向经过身份验证的最终用户提供访问权限时,该漏洞的严重性会降至 CVSS 评分 7.1。
修复也已扩展到其他常用的维护版本 -
PAN OS 11.1(11.1.2-h16、11.1.3-h13、11.1.4-h7 和 11.1.5)
PAN OS 10.2(10.2.8-h19、10.2.9-h19、10.2.10-h12、10.2.11-h10、10.2.12-h4、10.2.13-h2 和 10.2.14)
PAN-OS 10.1(10.1.14-h8 和 10.1.15)
PAN-OS 10.2.9-h19 和 10.2.10-h12(仅适用于 Prisma Access)
PAN-OS 11.0(由于将于 2024 年 11 月 17 日达到使用寿命终止状态,因此未进行修复)
作为非托管防火墙或 Panorama 托管防火墙的解决方法和缓解措施,客户可以选择将每个反间谍软件配置文件的所有已配置 DNS 安全类别的日志严重性设置为“无” ,方法是导航至“对象”>“安全配置文件”>“反间谍软件”>(选择一个配置文件)>“DNS 策略”>“DNS 安全”。
对于由 Strata Cloud Manager (SCM) 管理的防火墙,用户可以按照上述步骤直接在每台设备上禁用 DNS 安全日志记录,也可以通过打开支持案例在所有设备上禁用。对于由 SCM 管理的 Prisma Access 租户,建议打开支持案例以关闭日志记录,直到升级完成。
该漏洞编号为 CVE-2024-3393(CVSS 评分:8.7),影响 PAN-OS 版本 10.X 和 11.X,以及运行 PAN-OS 版本 10.2.8 及更高版本或 11.2.3 之前的 Prisma Access。该漏洞已在 PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3 以及所有更高版本的 PAN-OS 中得到解决。
该公司在周五的公告中表示:“Palo Alto Networks PAN-OS 软件的 DNS 安全功能中存在拒绝服务漏洞,允许未经身份验证的攻击者通过防火墙的数据平面发送恶意数据包,从而重新启动防火墙。”
“反复尝试触发此情况将导致防火墙进入维护模式。”
Palo Alto Networks 表示,它在生产使用中发现了该漏洞,并且意识到客户“在防火墙阻止触发此问题的恶意 DNS 数据包时会遭遇拒绝服务 (DoS) 攻击”。
目前尚不清楚该活动的规模。Hacker News 已联系 Palo Alto Networks 寻求进一步评论,如果收到回复,我们将更新该报道。
值得指出的是,启用了 DNS 安全日志记录的防火墙受到 CVE-2024-3393 的影响。此外,当仅通过 Prisma Access 向经过身份验证的最终用户提供访问权限时,该漏洞的严重性会降至 CVSS 评分 7.1。
修复也已扩展到其他常用的维护版本 -
PAN OS 11.1(11.1.2-h16、11.1.3-h13、11.1.4-h7 和 11.1.5)
PAN OS 10.2(10.2.8-h19、10.2.9-h19、10.2.10-h12、10.2.11-h10、10.2.12-h4、10.2.13-h2 和 10.2.14)
PAN-OS 10.1(10.1.14-h8 和 10.1.15)
PAN-OS 10.2.9-h19 和 10.2.10-h12(仅适用于 Prisma Access)
PAN-OS 11.0(由于将于 2024 年 11 月 17 日达到使用寿命终止状态,因此未进行修复)
作为非托管防火墙或 Panorama 托管防火墙的解决方法和缓解措施,客户可以选择将每个反间谍软件配置文件的所有已配置 DNS 安全类别的日志严重性设置为“无” ,方法是导航至“对象”>“安全配置文件”>“反间谍软件”>(选择一个配置文件)>“DNS 策略”>“DNS 安全”。
对于由 Strata Cloud Manager (SCM) 管理的防火墙,用户可以按照上述步骤直接在每台设备上禁用 DNS 安全日志记录,也可以通过打开支持案例在所有设备上禁用。对于由 SCM 管理的 Prisma Access 租户,建议打开支持案例以关闭日志记录,直到升级完成。
关于作者
评论0次