Vulnerabilidad alta de PAN-OS explotada activamente en la red

Palo Alto Networks ha emitido un aviso de seguridad sobre una vulnerabilidad alta en la funcionalidad de DNS Security de su software PAN-OS. La explotación de esta vulnerabilidad, podría permitir a atacantes no autenticados interrumpir las operaciones del firewall.

  • CVE-2024-3393 (CVSS 8.7): La vulnerabilidad radica en cómo los firewalls manejan paquetes DNS maliciosos diseñados específicamente para explotar esta falla. Un atacante puede enviar estos paquetes a través del plano de datos, desencadenando un reinicio del dispositivo. Los intentos continuos de explotar esta vulnerabilidad pueden llevar al firewall a pasar a modo de mantenimiento, interrumpiendo por completo su operación normal.
Producto AfectadoVersión AfectadaSolución
PAN-OSDesde 11.2.0 hasta anteriores a 11.2.3.Actualizar a la versión 11.2.3 o posterior.
Desde 11.1.0 hasta anteriores a 11.1.2-h16.Actualizar a la versión 11.1.2-h16 o posterior.
Desde 10.2.8 hasta anteriores a 10.2.8-h19.Actualizar a la versión 10.2.8-h19 o posterior.
Desde 10.1.14 hasta anteriores a 10.1.14-h8.Actualizar a la versión 10.1.14-h8 o posterior.
Prisma Access en PAN-OSDesde la 10.2.8 en adelante.Actualizar a la versión 10.2.9-h19 o posterior.
Desde 11.2.0 hasta anteriores a 11.2.3.Actualizar a la versión 11.2.3 o posterior.

Recomendaciones:

  • Actualizar los sistemas PAN-OS a las versiones corregidas disponibles.
  • Deshabilitar temporalmente el registro de seguridad DNS configurando la severidad de los logs en «none» hasta aplicar las actualizaciones.
  • Verificar regularmente las configuraciones del firewall y aplicar las mejores prácticas de seguridad para prevenir posibles explotaciones.

Referencias: