Palo Alto Networks advierte que los piratas informáticos están explotando la vulnerabilidad de denegación de servicio CVE-2024-3393 para desactivar las protecciones del firewall obligándolo a reiniciarse.
Sin embargo, si se explota el problema de seguridad repetidamente, el dispositivo entra en modo de mantenimiento y se requiere intervención manual para restaurarlo a su funcionamiento normal.
“Una vulnerabilidad de denegación de servicio en la característica de seguridad DNS del software PAN-OS de Palo Alto Networks permite que un atacante no autenticado envíe un paquete malicioso a través del plano de datos del firewall que reinicia el firewall”, lee la reseña.
El error DoS se explota activamente
Palo Alto Networks afirma que es posible explotar esta vulnerabilidad mediante un atacante no autenticado que envía un paquete malicioso especialmente diseñado a un dispositivo afectado.
El problema solo afecta a los dispositivos con el registro de “Seguridad DNS” habilitado, mientras que las versiones del producto afectadas por CVE-2024-3393 se muestran a continuación.
El proveedor confirmó que la falla se está explotando activamente y señaló que los clientes experimentaron interrupciones cuando su firewall bloqueó paquetes DNS maliciosos de los atacantes que explotaban el problema.
La compañía solucionó la falla en PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 y versiones posteriores.
Sin embargo, cabe señalar que PAN-OS 11.0, afectado por CVE-2024-3393, no recibirá un parche porque esta versión alcanzó su fecha de fin de vida (EOL) el 17 de noviembre.
Palo Alto Networks también ha publicado soluciones y pasos para mitigar el problema para aquellos que no pueden actualizar inmediatamente:
Para NGFW no administrado, NGFW administrado por Panorama o Prisma Access administrado por Panorama:
- Navegue a: Objetos → Perfiles de seguridad → Antispyware → Políticas DNS → Seguridad DNS para cada perfil antispyware.
- Cambie la gravedad del registro a “Ninguno” para todas las categorías de seguridad DNS configuradas.
- Confirme los cambios y revierta la configuración de gravedad del registro después de aplicar los parches.
Para NGFW gestionado por Strata Cloud Manager (SCM):
- Opción 1: deshabilite el registro de seguridad de DNS directamente en cada NGFW siguiendo los pasos anteriores.
- Opción 2: deshabilite el registro de seguridad de DNS en todos los NGFW del inquilino abriendo un caso de soporte.
Para Prisma Access gestionado por Strata Cloud Manager (SCM):
- Abra un caso de soporte para deshabilitar el registro de seguridad de DNS en todos los NGFW de su inquilino.
- Si es necesario, solicite acelerar la actualización del inquilino de Prisma Access en el caso de soporte.