DoS в PAN-OS: обновите свои межсетевые экраны как можно скорее

Palo Alto Networks сообщила об уязвимости высокой степени опасности, влияющей на программное обеспечение PAN-OS. Уязвимость, зарегистрированная как CVE-2024-3393 с оценкой CVSS 8.7, может привести к отказу в обслуживании (DoS) на уязвимых устройствах.

Ошибка затрагивает версии PAN-OS 10.X и 11.X, а также Prisma Access с PAN-OS 10.2.8 и более поздними версиями вплоть до 11.2.3. Проблема была исправлена в:

• PAN-OS 10.1.14-h8;
• PAN-OS 10.2.10-h12;
• PAN-OS 11.1.5;
• PAN-OS 11.2.3;
• и всех последующих версиях.

По данным компании, уязвимость связана с функцией DNS Security. Злоумышленник может отправить вредоносный пакет через дата-план межсетевого экрана, что приводит к его перезагрузке. Повторные попытки вызвать эту ошибку могут перевести устройство в режим обслуживания.

Компания отметила, что обнаружила проблему в процессе эксплуатации и знает о случаях, когда клиенты сталкивались с DoS при блокировке межсетевым экраном вредоносных DNS-пакетов, вызывающих эту уязвимость. Масштаб проблемы пока неизвестен.

Устройства с включённым логированием DNS Security активно подвергаются воздействию CVE-2024-3393. Для аутентифицированных пользователей через Prisma Access степень опасности снижена до CVSS 7.1.

Для устройств, которые невозможно обновить, предусмотрены временные решения. Например, отключение логирования для всех категорий DNS Security в профиле Anti-Spyware через настройки безопасности. Для клиентов Prisma Access рекомендовано обратиться в техническую поддержку для отключения логирования до установки обновлений.