Palo Alto Networks warnt, dass Hacker die Denial-of-Service-Schwachstelle CVE-2024-3393 ausnutzen, um den Firewall-Schutz zu deaktivieren, indem sie einen Neustart erzwingen.
Leveraging the security issue repeatedly, however, causes the device to enter maintenance mode and manual intervention is required to restore it to normal operations.
“A Denial of Service vulnerability in the DNS Security feature of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to send a malicious packet through the data plane of the firewall that reboots the firewall,” reads the advisory.
DoS-Bug wird aktiv ausgenutzt
Laut Palo Alto Networks kann die Schwachstelle von einem nicht authentifizierten Angreifer ausgenutzt werden, der ein speziell präpariertes, bösartiges Paket an ein betroffenes Gerät sendet.
Das Problem wirkt sich nur auf Geräte aus, bei denen die DNS-Sicherheitsprotokollierung aktiviert ist. Die von CVE-2024-3393 betroffenen Produktversionen sind unten aufgeführt.
Versionen
Der Anbieter bestätigte, dass die Schwachstelle aktiv ausgenutzt wird, und wies darauf hin, dass es bei Kunden zu Ausfällen kam, als ihre Firewall bösartige DNS-Pakete von Angreifern blockierte, die das Problem ausnutzten.
Das Unternehmen hat die Schwachstelle in PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 und nachfolgenden Versionen behoben.
However, it’s noted that PAN-OS 11.0, which is impacted by CVE-2024-3393, will not receive a patch because that version has reached its end-of-life (EOL) date on November 17.
Palo Alto Networks hat auch Workarounds und Schritte zur Entschärfung des Problems für diejenigen veröffentlicht, die nicht sofort aktualisieren können:
For unmanaged NGFWs, NGFWs managed by Panorama, or Prisma Access Managed by Panorama:
Navigieren Sie zu: Objekte → Sicherheitsprofile → Anti-Spyware → DNS-Richtlinien → DNS-Sicherheit für jedes Anti-Spyware-Profil.
Ändern Sie den Protokollschweregrad für alle konfigurierten DNS-Sicherheitskategorien auf "keine".
Bestätigen Sie die Änderungen und kehren Sie die Einstellungen für den Protokollschweregrad zurück, nachdem Sie die Korrekturen angewendet haben.
For NGFWs managed by Strata Cloud Manager (SCM):
Option 1: Deaktivieren Sie die DNS-Sicherheitsprotokollierung direkt auf jeder NGFW mit den oben beschriebenen Schritten.
Option 2: Deaktivieren Sie die DNS-Sicherheitsprotokollierung für alle NGFWs im Mandanten, indem Sie einen Supportfall eröffnen.
For Prisma Access managed by Strata Cloud Manager (SCM):
Öffnen Sie einen Support-Fall, um die DNS-Sicherheitsprotokollierung für alle NGFWs in Ihrem Mandanten zu deaktivieren.
Beantragen Sie bei Bedarf ein beschleunigtes Upgrade des Prisma Access-Mandanten im Support-Fall.
