Palo Alto Networks PAN-OS拒绝服务漏洞CVE-2024-3393

PaloAltoNetworks（派拓网络）是一家全球领先的网络安全公司，该公司提供多种安全解决方案，包括防火墙、威胁防护和策略建议等等。

Palo Alto Networks 防火墙通过数据包检查和应用程序签名库区分协议和端口号相同的应用程序，识别使用非标准端口潜在恶意应用程序。

一、基本情况

PAN-OS是Palo Alto Networks为其防火墙设备而开发的操作系统，是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。

PAN-OS利用App-ID、Content-ID、Device-ID和User-ID等技术，实现对所有用户和设备在所有位置上使用的应用程序完全可见性和控制。

栋科技漏洞库关注到Palo Alto Networks PAN-OS中存在一个拒绝服务漏洞，该漏洞被追踪为CVE-2024-3393，该漏洞的CVSS评分为8.7。

二、漏洞分析

CVE-2024-3393漏洞是Palo Alto Networks PAN-OS 的DNS安全功能中存在的拒绝服务漏洞，由Palo Alto Networks近期的安全公告公布。

该漏洞源于恶意数据包通过防火墙数据平面发送时，触发防火墙重启条件，未经身份验证攻击者干扰防火墙操作导致拒绝服务（DoS）。

具体来说，当存在漏洞的受影响设备在应用了DNS Security License或者 Advanced DNS Security License且启用了DNS安全日志记录时，

由于防火墙的数据平面（Data Plane）对特制数据包处理不当，未经身份验证远程攻击者可通过网络发送恶意数据包，导致防火墙重启。

并且，未经身份验证的攻击者干可能多次利用该漏洞干扰防火墙操作，迫使其进入维护模式，从而导致服务中断或影响防火墙的可用性。

漏洞影响Palo Alto Networks PA 系列防火墙、VM 系列防火墙、CN 系列防火墙 和 Prisma Access 上运行的以下 PAN-OS 防火墙的版本。

影响版本包括：PAN-OS 11.2（低于11.2.3）、11.1（低于11.1.5）、10.2（低于10.2.10-h12或10.2.13-h2）和10.1（低于10.1.14-h8）。

值得注意的是，只有应用了DNS Security License 或 Advanced DNS Security License且启用DNS安全日志记录的设备才会受该漏洞影响。

Palo Alto Networks确认部分客户在防火墙阻止利用该漏洞恶意DNS数据包时确实经历了DoS状态，具体攻击者信息和利用程度尚未披露。

Palo Alto Networks安全公告指出，为降低风险建议客户升级到相应的修复版本，或在无法立即应用修复时，建议禁用DNS安全日志记录。

Palo Alto Networks提醒，若防火墙在运行受影响的PAN-OS版本时停止响应或意外重启，应当尽快应用临时解决方案，避免不必要损失。

需要特别注意的是，PAN-OS 11.0已达到生命周期结束（EOL），目前已经停止维护，因此该版本暂无修复，已不再获得官方发布的修复。

三、影响范围

PAN-OS 11.2 < 11.2.3*

PAN-OS 11.1 < 11.1.5*

PAN-OS 10.2 >= 10.2.8*，< 10.2.14*

PAN-OS 10.1 >= 10.1.14*, < 10.1.15*

Prisma Access >= 10.2.8* on PAN-OS, < 11.2.3* on PAN-OS

四、修复建议

PAN-OS 11.2 >= 11.2.3*

PAN-OS 11.1 >= 11.1.5*

PAN-OS 10.2 < 10.2.8*，>= 10.2.14*

PAN-OS 10.1 < 10.1.14*, >= 10.1.15*

Prisma Access < 10.2.8* on PAN-OS, >= 11.2.3* on PAN-OS

五、 参考链接

此处内容已隐藏，评论后刷新即可查看！