Palo Alto Networks警告，稱黑客正在利用CVE - 2024 - 3393拒絕服務(wù)漏洞，通過強(qiáng)制重啟防火墻的方式，使其保護(hù)功能喪失。反復(fù)利用這一安全漏洞會(huì)讓設(shè)備進(jìn)入維護(hù)模式，必須手動(dòng)干預(yù)才能恢復(fù)正常運(yùn)行狀態(tài)。

公告指出：“Palo Alto Networks PAN - OS軟件中的DNS安全功能存在一個(gè)拒絕服務(wù)漏洞，未經(jīng)身份驗(yàn)證的攻擊者能夠經(jīng)由防火墻的數(shù)據(jù)平面發(fā)送惡意數(shù)據(jù)包，從而造成防火墻重啟。”

DoS漏洞正在被積極利用

Palo Alto Networks表示，未經(jīng)身份驗(yàn)證的攻擊者可以向受影響的設(shè)備發(fā)送特制的惡意數(shù)據(jù)包來利用此漏洞。這一問題僅出現(xiàn)在啟用了“DNS安全”日志記錄的設(shè)備上，受CVE - 2024 - 3393影響的產(chǎn)品版本如下：

• PAN - OS 10.1.14 - h8
• PAN - OS 10.2.10 - h12
• PAN - OS 11.1.5
• PAN - OS 11.2.3

廠商確認(rèn)該漏洞正在被積極利用，并且指出客戶在防火墻阻止攻擊者利用該漏洞發(fā)送的惡意DNS數(shù)據(jù)包時(shí)，出現(xiàn)了服務(wù)中斷的情況。該公司已經(jīng)在PAN - OS 10.1.14 - h8、PAN - OS 10.2.10 - h12、PAN - OS 11.1.5、PAN - OS 11.2.3以及后續(xù)版本中修復(fù)了這個(gè)漏洞。

不過需要注意的是，受CVE - 2024 - 3393影響的PAN - OS 11.0版本不會(huì)收到補(bǔ)丁，因?yàn)樵摪姹疽延?1月17日到達(dá)其生命周期終止（EOL）日期。對(duì)于無法立即更新的用戶，Palo Alto Networks還發(fā)布了緩解問題的臨時(shí)措施和步驟：

對(duì)于未管理的下一代防火墻（NGFW）、由Panorama管理的NGFW或者由Panorama管理的Prisma Access：

• 導(dǎo)航至：Objects(對(duì)象)→Security Profiles(安全配置文件)→Anti - spyware(反間諜軟件)→DNS Policies(DNS策略)→DNS Security(DNS安全)，針對(duì)每個(gè)反間諜配置文件進(jìn)行操作。
• 將所有已配置的DNS安全類別的日志嚴(yán)重性更改為“none”(無)。
• 提交更改，并且在應(yīng)用修復(fù)之后恢復(fù)日志嚴(yán)重性設(shè)置。

對(duì)于由Strata Cloud Manager（SCM）管理的NGFW：

• 選項(xiàng)1：按照上述步驟直接在每臺(tái)NGFW上禁用DNS安全日志記錄。
• 選項(xiàng)2：通過提交支持案例，在租戶中的所有NGFW上禁用DNS安全日志記錄。

對(duì)于由Strata Cloud Manager（SCM）管理的Prisma Access：

• 提交支持案例，以在租戶中的所有NGFW上禁用DNS安全日志記錄。
• 如有需要，可在支持案例中請(qǐng)求加快Prisma Access租戶的升級(jí)。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/