Palo Alto Networks 发布紧急修复补丁以解决DoS漏洞

关键点总结

• 漏洞信息: Palo Alto Networks 发布了针对其 PAN-OS 防火墙软件中 DNS 安全功能的拒绝服务（DoS）漏洞的修补程序，漏洞编号为 CVE-2024-3393。
• 影响: 此漏洞允许未认证攻击者发送恶意数据包，导致防火墙重启，并可能进入维护模式，需要安全团队的手动干预。
• 受影响版本: 坏处于 PAN-OS 10.X 和 11.X 版本的客户，特别是 Prisma Access 运行 PAN-OS 10.2.8 及其后版本或 11.2.3 之前的版本。
• 修复方案: 已为特定版本发行补丁，用户需尽快更新以防止利用。

Palo Alto Networks 于 12 月 26 日发布了一项针对其 PAN-OS 防火墙软件中 DNS安全功能的拒绝服务（DoS）漏洞的修补程序。高危漏洞 CVE-2024-3393 允许未认证的攻击者通过防火墙的数据平面发送恶意数据包，从而导致设备重启。

Palo Alto 透露，一旦多次尝试触发此条件，防火墙将进入维护模式，需安全团队进行手动干预。该公司表示，部分客户已经经历了当防火墙反复阻止这些恶意
DNS 数据包时引发的 DoS 问题。

根据 Palo Alto 的信息，该漏洞影响以下PAN-OS版本:

版本 | 描述
—|—
10.X | 包含安全漏洞的版本
11.X | 包含安全漏洞的版本
10.2.8 及以上 | Prisma Access 服务需要注意
11.2.3 之前 | 需要更新，以避免被攻击

Palo Alto 已为以下 PAN-OS 版本发布补丁：

• PAN-OS 10.1.14-h8
• PAN-OS 10.2.10-h12
• PAN-OS 11.1.5
• PAN-OS 11.2.3
• 以及所有更新的 PAN-OS 版本

Stephen Kowski ，SlashNext 邮件安全的现场首席技术官，表示，PAN-OS 中的 DNS 安全功能漏洞使攻击者有可能通过恶意
DNS 数据包干扰网络操作，导致防火墙重启及需要手动干预的维护模式。他还解释道，虽然上月报告的 PAN-OS 问题集中在身份验证绕过或命令注入上，但这次的新
DoS 漏洞专门针对组织用于检测命令与控制威胁、隧道尝试及各种基于 DNS 的攻击的 DNS 检查机制。

Kowski 强调：“Palo Alto Networks在实际使用中发现这一漏洞，表明活跃的利用尝试，使得受影响的组织必须立即进行修补。”他补充说，现代安全方法可以通过多层检查点和利用机器学习分析 DNS流量模式，从而帮助组织即使在主要安全控制被攻破时也能够保持保护。

Jason Soroko ，Sectigo的高级研究员补充道，此漏洞通过操控防火墙的数据平面进行操作。当被利用时，恶意的数据包在经过多次尝试后会触发防火墙进入维护模式，实质上导致长时间的服务中断。

“Palo Alto Networks 在生产使用中发现了这一缺陷，并已报告部分客户的防火墙因阻止这些有害的 DNS 数据包而正在经历 DoS事件，”Soroko 指出。

在尝试解决或获取更多信息时，用户可以通过以下链接访问相关内容： – – –