Palo Alto Networks ha emitido un aviso de seguridad sobre una vulnerabilidad alta en la funcionalidad de DNS Security de su software PAN-OS. La explotación de esta vulnerabilidad, podría permitir a atacantes no autenticados interrumpir las operaciones del firewall.
- CVE-2024-3393 (CVSS 8.7): La vulnerabilidad radica en cómo los firewalls manejan paquetes DNS maliciosos diseñados específicamente para explotar esta falla. Un atacante puede enviar estos paquetes a través del plano de datos, desencadenando un reinicio del dispositivo. Los intentos continuos de explotar esta vulnerabilidad pueden llevar al firewall a pasar a modo de mantenimiento, interrumpiendo por completo su operación normal.
Producto Afectado | Versión Afectada | Solución |
PAN-OS | Desde 11.2.0 hasta anteriores a 11.2.3. | Actualizar a la versión 11.2.3 o posterior. |
Desde 11.1.0 hasta anteriores a 11.1.2-h16. | Actualizar a la versión 11.1.2-h16 o posterior. | |
Desde 10.2.8 hasta anteriores a 10.2.8-h19. | Actualizar a la versión 10.2.8-h19 o posterior. | |
Desde 10.1.14 hasta anteriores a 10.1.14-h8. | Actualizar a la versión 10.1.14-h8 o posterior. | |
Prisma Access en PAN-OS | Desde la 10.2.8 en adelante. | Actualizar a la versión 10.2.9-h19 o posterior. |
Desde 11.2.0 hasta anteriores a 11.2.3. | Actualizar a la versión 11.2.3 o posterior. |
Recomendaciones:
- Actualizar los sistemas PAN-OS a las versiones corregidas disponibles.
- Deshabilitar temporalmente el registro de seguridad DNS configurando la severidad de los logs en «none» hasta aplicar las actualizaciones.
- Verificar regularmente las configuraciones del firewall y aplicar las mejores prácticas de seguridad para prevenir posibles explotaciones.
Referencias: