(https://i.postimg.cc/523d1tRk/Palo-Alto-Networks.png) (https://postimg.cc/dhLSjJv8)
Palo Alto Networks advierte que los piratas informáticos están explotando la vulnerabilidad de denegación de servicio CVE-2024-3393 para desactivar las protecciones del firewall al obligarlo a reiniciarse.
Sin embargo, si se aprovecha el problema de seguridad repetidamente, el dispositivo entra en modo de mantenimiento y se requiere una intervención manual para restaurarlo a sus operaciones normales.
"Una vulnerabilidad de denegación de servicio en la función de seguridad DNS del software PAN-OS de Palo Alto Networks permite que un atacante no autenticado envíe un paquete malicioso a través del plano de datos del firewall que reinicia el firewall", se lee en el aviso.
DoS bug se explota activamente
Palo Alto Networks afirma que un atacante no autenticado puede explotar la vulnerabilidad enviando un paquete malicioso especialmente diseñado a un dispositivo afectado.
El problema solo afecta a los dispositivos en los que está habilitado el registro de "Seguridad DNS", mientras que las versiones de productos afectadas por CVE-2024-3393 se muestran a continuación:
(https://i.postimg.cc/d3dpfQC6/product-versions-affected.png) (https://postimages.org/)
El proveedor confirmó que la falla se está explotando activamente y señaló que los clientes experimentaron interrupciones cuando su firewall bloqueó paquetes DNS maliciosos de atacantes que aprovechaban el problema.
La empresa ha solucionado la falla en PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 y versiones posteriores.
Sin embargo, se observa que PAN-OS 11.0, que se ve afectado por CVE-2024-3393, no recibirá un parche porque esa versión ha llegado a su fecha de fin de vida útil (EOL) el 17 de noviembre.
Palo Alto Networks también ha publicado soluciones alternativas y pasos para mitigar el problema para aquellos que no pueden actualizar de inmediato:
Para NGFW no administrados, NGFW administrados por Panorama o Prisma Access administrados por Panorama:
Vaya a: Objetos → Perfiles de seguridad → Anti-spyware → Políticas DNS → Seguridad DNS para cada perfil de Anti-spyware.
Cambie la Gravedad del registro a "ninguno" para todas las categorías de Seguridad DNS configuradas.
Confirme los cambios y revierta la configuración de Gravedad del registro después de aplicar las correcciones.
Para NGFW administrados por Strata Cloud Manager (SCM):
Opción 1: deshabilite el registro de Seguridad DNS directamente en cada NGFW siguiendo los pasos anteriores.
Opción 2: deshabilite el registro de seguridad de DNS en todos los NGFW del inquilino abriendo un caso de soporte.
Para Prisma Access administrado por Strata Cloud Manager (SCM):
Abra un caso de soporte para deshabilitar el registro de seguridad de DNS en todos los NGFW del inquilino.
Si es necesario, solicite acelerar la actualización del inquilino de Prisma Access en el caso de soporte.
Fuente:
BleeepingComputer
https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/