Vulnerabilidade no PAN-OS permite ataques de negação de serviço via DNS

Prezados, bom dia.

Uma vulnerabilidade de alta criticidade foi identificada no software PAN-OS da Palo Alto Networks, especificamente na funcionalidade de “Segurança DNS”. Catalogada como CVE-2024-3393, a falha permite que atacantes não autenticados enviem pacotes maliciosos através do plano de dados do firewall, resultando em reinicializações inesperadas do dispositivo. É importante ressaltar que o recurso de registro “Segurança DNS” deve estar habilitado no firewall para que a falha seja explorada com sucesso.

Assim, ataques repetidos podem levar o firewall ao modo de manutenção. A própria Palo Alto, em comunicado, afirmou estar ciente de que consumidores têm sofrido negação de serviço a partir desse erro.

A falha crítica afeta as seguintes versões:

•  PAN-OS 11.2: versões anteriores à 11.2.3.

•  PAN-OS 11.1: versões anteriores à 11.1.5.

•  PAN-OS 10.2: versões entre 10.2.8 até as anteriores à 10.2.10-h12 e à 10.2.13-h2.

•  PAN-OS 10.1: versões entre 10.1.14 até as anteriores à 10.1.14-h8.

•  Prisma Access: versões iguais ou superiores à 10.2.9 no PAN-OS e versões anteriores à 11.2.3.

•  Nenhuma das versões do Cloud NGFW são afetadas.

O fabricante apontou que o PAN-OS 11.0 atingiu o fim de sua vida útil em 17 de novembro deste ano e, portanto, não receberá correções para essa vulnerabilidade. Por isso, é recomendado que clientes migrem para outra versão que esteja dentro do suporte.

Dessa forma, consumidores do produto devem atualizar seus softwares para as versões PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 ou outras mais recentes disponíveis.

Para clientes do Prisma Access, as atualizações do fabricante serão realizadas nos finais de semana de 3 e 10 de janeiro de 2025. Caso o consumidor precise de uma atualização antecipada, a Palo Alto solicita que o usuário abra um chamado para suporte.

Caso o usuário utilize um versão vulnerável do PAN-OS, sofra uma negação de serviço e não consiga atualizar o sistema, o fabricante recomenda que o cliente aplique a seguinte remediação de contorno: navegue até “Objetos”, “Perfis de Segurança” e “Anti-spyware”. Depois, selecione o perfil desejado e vá para “Políticas de DNS” e “Segurança DNS”. Então, mude a severidade do log para “nenhum” em todas as categorias disponíveis. Lembre-se de reverter essas configurações após aplicar as correções para restaurar a funcionalidade.

A SEK recomenda que clientes façam uma auditoria interna para verificar se todos os softwares estão devidamente atualizados e protegidos contra explorações. Além disso, é importante reavaliar a atualizar planos de resposta a incidentes para incluir cenários semelhantes aos relacionados à falha CVE-2024-3393. Também é fundamental treinar as equipes de segurança e desenvolvimento sobre a vulnerabilidade, destacando a forma de exploração e as medidas de mitigação para prevenir erros operacionais e aumentar a capacidade de resposta incidentes.

A SEK se mantém à disposição para fornecer suporte adicional e esclarecer quaisquer dúvidas relacionadas a esta vulnerabilidade.

COMPARTILHE ESTE POST

WhatsApp
Facebook
LinkedIn
Twitter