Palo Alto Networks je otkrio ranjivost visoke ozbiljnosti, CVE-2024-3393, u svom PAN-OS softveru koji pokreće njegove firewall nove generacije.
Greška omogućava neautorizovanim napadačima da iskoriste funkciju DNS Security tako što šalju posebno kreirane DNS pakete, izazivajući uslov uskraćivanja usluge (DoS). Ova ranjivost može uzrokovati da se pogođeni zaštitni zidovi ponovo pokrenu i uđu u način održavanja ako se više puta iskorištava.
Problem proizilazi iz nepravilnog rukovanja izuzetnim uslovima unutar DNS sigurnosne funkcije PAN-OS-a. Napadači mogu slati maliciozne pakete kroz podatkovnu ravan zaštitnog zida, uzrokujući njegov pad i ponovno pokretanje.
Ova greška je ocijenjena sa CVSS ocjenom 8,7 (visoko), što ukazuje na značajan potencijal za poremećaje. Složenost napada je niska, ne zahtjeva interakciju korisnika ili privilegije i može se izvršiti daljinski preko mreže.
Pogođene verzije
Ranjivost utiče na više verzija PAN-OS-a:
- PAN-OS 11.2: Pogođene verzije su ispod 11.2.3.
- PAN-OS 11.1: Pogođene verzije su ispod 11.1.5.
- PAN-OS 10.2: Ovo utiče na verzije ispod 10.2.8, sa dodatnim popravkama u izdanjima za održavanje.
- PAN-OS 10.1: Utiče na verzije ispod 10.1.14.
Korisnici Prisma Accessa koji koriste ranjive verzije PAN-OS-a su također u opasnosti.
Palo Alto Networks je potvrdio izvještaje o eksploataciji u proizvodnim okruženjima, gdje su napadači uspješno pokrenuli DoS uslove iskorištavanjem ove ranjivosti.
Iako nedostatak ne ugrožava povjerljivost ili integritet, značajno utiče na dostupnost, što ga čini kritičnom brigom za organizacije koje se oslanjaju na ove firewall za sigurnost mreže.
Palo Alto Networks je objavio zakrpe za rješavanje problema u sljedećim verzijama:
- PAN-OS 10.1.14-h8
- PAN-OS 10.2.10-h12
- PAN-OS 11.1.5
- PAN-OS 11.2.3
Kupcima se snažno savjetuje da nadograde na ove ili novije verzije kako bi umanjili rizik.
Za one koji ne mogu odmah primijeniti popravke, privremena rješenja uključuju onemogućavanje DNS sigurnosnog evidentiranja:
- Idite na Objekti → Sigurnosni profili → Anti-spyware → DNS politike.
- Postavite “Ozbiljnost dnevnika” na “ništa” za sve kategorije sigurnosti DNS-a.
- Urezivanje promjena i vraćanje postavki nakon primjene popravki.
Organizacije koje koriste Palo Alto firewall trebale bi:
- Odmah postavite zakrpe da osigurate njihove sisteme.
- Implementirajte preporučena rješenja ako zakrpa nije izvodljiva.
- Pratite ponašanje zaštitnog zida za neočekivana ponovno pokretanje ili pojavljivanje načina održavanja.
- Redovno pregledajte sigurnosne savjete i održavajte ažurirane verzije softvera.
Ova ranjivost naglašava kritičnu važnost pravovremenog upravljanja zakrpama i robusnih praksi nadgledanja za zaštitu mrežne infrastrukture od novih prijetnji.
Izvor: CyberSecurityNews
