Palo Alto Networks a divulgué une vulnérabilité de haute gravité affectant le logiciel PAN-OS qui pourrait provoquer une condition de déni de service (DoS) sur les appareils sensibles.
La faille, suivie comme CVE-2024-3393 (score CVSS : 8,7), affecte les versions PAN-OS 10.X et 11.X, ainsi que Prisma Access exécutant les versions PAN-OS 10.2.8 et ultérieures ou antérieures à 11.2. 3. Il a été résolu dans PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 et toutes les versions ultérieures de PAN-OS.
« Une vulnérabilité de déni de service dans la fonctionnalité de sécurité DNS du logiciel PAN-OS de Palo Alto Networks permet à un attaquant non authentifié d’envoyer un paquet malveillant via le plan de données du pare-feu qui redémarre le pare-feu », a déclaré la société. dit dans un avis de vendredi.
« Des tentatives répétées pour déclencher cette condition feront passer le pare-feu en mode maintenance. »
Palo Alto Networks a déclaré avoir découvert la faille dans l’utilisation en production et être conscient du fait que des clients « subissent ce déni de service (DoS) lorsque leur pare-feu bloque les paquets DNS malveillants qui déclenchent ce problème ».
L’étendue de l’activité est actuellement inconnue. The Hacker News a contacté Palo Alto Networks pour obtenir de plus amples commentaires, et nous mettrons à jour l’histoire si nous recevons une réponse.
Il convient de souligner que les pare-feu sur lesquels la journalisation de sécurité DNS est activée sont affectés par CVE-2024-3393. De plus, la gravité de la faille tombe à un score CVSS de 7,1 lorsque l’accès n’est fourni qu’aux utilisateurs finaux authentifiés via Prisma Access.
Les correctifs ont également été étendus à d’autres versions de maintenance couramment déployées –
- PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 et 11.1.5)
- PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 et 10.2.14)
- PAN-OS 10.1 (10.1.14-h8 et 10.1.15)
- PAN-OS 10.2.9-h19 et 10.2.10-h12 (applicable uniquement à Prisma Access)
- PAN-OS 11.0 (Aucun correctif car il a atteint son statut de fin de vie le 17 novembre 2024)
Comme solutions de contournement et d’atténuation pour les pare-feu non gérés ou ceux gérés par Panorama, les clients ont la possibilité de définir la gravité des journaux sur « Aucune » pour toutes les catégories de sécurité DNS configurées pour chaque Profil anti-spyware en accédant à Objets > Profils de sécurité > Anti-spyware > (sélectionnez un profil) > Stratégies DNS > Sécurité DNS.
Pour les pare-feu gérés par Strata Cloud Manager (SCM), les utilisateurs peuvent soit suivre les étapes ci-dessus pour désactiver la journalisation de sécurité DNS directement sur chaque appareil, soit sur tous en ouvrant un dossier d’assistance. Pour les locataires Prisma Access gérés par SCM, il est recommandé d’ouvrir un dossier de support pour désactiver la journalisation jusqu’à ce qu’une mise à niveau soit effectuée.
