Janeiro 3, 2025
Rico Olivetti Tecnologia

Palo Alto lança patch para falha DoS do PAN-OS — atualize imediatamente

A Palo Alto Networks divulgou uma vulnerabilidade de alta gravidade que afeta o software PAN-OS e que pode causar uma condição de negação de serviço (DoS) em dispositivos suscetíveis.

A falha, rastreada como CVE-2024-3393 (pontuação CVSS: 8,7), afeta as versões 10.X e 11.X do PAN-OS, bem como o Prisma Access executando as versões 10.2.8 e posteriores do PAN-OS ou anteriores à 11.2.3. Ela foi corrigida no PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 e todas as versões posteriores do PAN-OS.

“Uma vulnerabilidade de negação de serviço no recurso de segurança de DNS do software PAN-OS da Palo Alto Networks permite que um invasor não autenticado envie um pacote malicioso através do plano de dados do firewall, que reinicia o firewall”, disse a empresa em um comunicado na sexta-feira.

“Tentativas repetidas de acionar essa condição farão com que o firewall entre no modo de manutenção.”

A Palo Alto Networks disse que descobriu a falha no uso em produção e que está ciente de clientes “que estão enfrentando essa negação de serviço (DoS) quando seus firewalls bloqueiam pacotes DNS maliciosos que acionam esse problema”.

A extensão da atividade é atualmente desconhecida. Quando contatada para comentar, a empresa reconheceu que a vulnerabilidade está sendo usada na natureza. “Nós lançamos proativamente este aviso para fornecer transparência e equipar nossos clientes com as informações necessárias para proteger seus ambientes”, disse ao The Hacker News.

Vale ressaltar que firewalls que têm o registro de segurança DNS habilitado são afetados pelo CVE-2024-3393. Além disso, a gravidade da falha cai para uma pontuação CVSS de 7,1 quando o acesso é fornecido apenas a usuários finais autenticados via Prisma Access.

As correções também foram estendidas para outras versões de manutenção comumente implantadas –

  • PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 e 11.1.5)
  • PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 e 10.2.14)
  • PAN-OS 10.1 (10.1.14-h8 e 10.1.15)
  • PAN-OS 10.2.9-h19 e 10.2.10-h12 (aplicável somente ao Prisma Access)
  • PAN-OS 11.0 (nenhuma correção, pois atingiu o status de fim de vida em 17 de novembro de 2024)

Como soluções alternativas e mitigações para firewalls não gerenciados ou aqueles gerenciados pelo Panorama, os clientes têm a opção de definir a Gravidade do Log como “nenhum” para todas as categorias de Segurança DNS configuradas para cada perfil Antispyware navegando até Objetos > Perfis de Segurança > Antispyware > (selecione um perfil) > Políticas de DNS > Segurança de DNS.

Para firewalls gerenciados pelo Strata Cloud Manager (SCM), os usuários podem seguir as etapas acima para desabilitar o registro de DNS Security diretamente em cada dispositivo ou em todos eles abrindo um caso de suporte. Para locatários do Prisma Access gerenciados pelo SCM, é recomendável abrir um caso de suporte para desativar o registro até que uma atualização seja realizada.

Fonte: thehackernews.com