Palo Alto Networks telah mengungkapkan kerentanan tingkat tinggi yang berdampak pada perangkat lunak PAN-OS yang dapat menyebabkan kondisi penolakan layanan (DoS) pada perangkat yang rentan.
Cacatnya, yang dilacak sebagai CVE-2024-3393 (skor CVSS: 8.7), berdampak pada PAN-OS versi 10.X dan 11.X, serta Prisma Access yang menjalankan versi PAN-OS. Masalah ini telah diatasi di PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3, dan semua versi PAN-OS yang lebih baru.
“Kerentanan penolakan layanan dalam fitur Keamanan DNS pada perangkat lunak PAN-OS Palo Alto Networks memungkinkan penyerang yang tidak diautentikasi mengirimkan paket berbahaya melalui bidang data firewall yang me-reboot firewall,” kata perusahaan itu dalam sebuah peringatan hari Jumat. .
“Upaya berulang kali untuk memicu kondisi ini akan menyebabkan firewall memasuki mode pemeliharaan.”
Palo Alto Networks mengatakan pihaknya menemukan kelemahan dalam penggunaan produksi, dan menyadari bahwa pelanggan “mengalami penolakan layanan (DoS) ketika firewall mereka memblokir paket DNS berbahaya yang memicu masalah ini.”
Sejauh mana aktivitasnya saat ini tidak diketahui. The Hacker News telah menghubungi Palo Alto Networks untuk memberikan komentar lebih lanjut, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
Perlu diperhatikan bahwa firewall yang mengaktifkan logging Keamanan DNS dipengaruhi oleh CVE-2024-3393. Tingkat keparahan kelemahannya juga turun ke skor CVSS 7,1 ketika akses hanya diberikan kepada pengguna akhir yang diautentikasi melalui Prisma Access.
Perbaikan ini juga telah diperluas ke rilis pemeliharaan lain yang umum digunakan –
- PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7, dan 11.1.5)
- PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2, dan 10.2.14)
- PAN-OS 10.1 (10.1.14-h8 dan 10.1.15)
- PAN-OS 10.2.9-h19 dan 10.2.10-h12 (hanya berlaku untuk Prisma Access)
- PAN-OS 11.0 (Tidak ada perbaikan karena mencapai status akhir masa pakainya pada 17 November 2024)
Sebagai solusi dan mitigasi untuk firewall yang tidak dikelola atau yang dikelola oleh Panorama, pelanggan memiliki opsi untuk mengatur Keparahan Log ke “tidak ada” untuk semua kategori Keamanan DNS yang dikonfigurasi untuk setiap profil Anti-Spyware dengan menavigasi ke Objek > Profil Keamanan > Anti-spyware > ( pilih profil) > Kebijakan DNS > Keamanan DNS.
Untuk firewall yang dikelola oleh Strata Cloud Manager (SCM), pengguna dapat mengikuti langkah-langkah di atas untuk menonaktifkan logging Keamanan DNS secara langsung di setiap perangkat, atau di seluruh perangkat dengan membuka kasus dukungan. Untuk penyewa Prisma Access yang dikelola oleh SCM, disarankan untuk membuka kasus dukungan untuk mematikan logging hingga pemutakhiran dilakukan.
