Palo Alto Networks 于 12 月 26 日发布了一项针对其 PAN-OS 防火墙软件中 DNS安全功能的拒绝服务(DoS)漏洞的修补程序。高危漏洞 CVE-2024-3393 允许未认证的攻击者通过防火墙的数据平面发送恶意数据包,从而导致设备重启。
Palo Alto 透露,一旦多次尝试触发此条件,防火墙将进入维护模式,需安全团队进行手动干预。该公司表示,部分客户已经经历了当防火墙反复阻止这些恶意 DNS 数据包时引发的 DoS 问题。
根据 Palo Alto 的信息,该漏洞影响以下PAN-OS版本:
| 版本 | 描述 |
|---|---|
| 10.X | 包含安全漏洞的版本 |
| 11.X | 包含安全漏洞的版本 |
| 10.2.8 及以上 | Prisma Access 服务需要注意 |
| 11.2.3 之前 | 需要更新,以避免被攻击 |
Palo Alto 已为以下 PAN-OS 版本发布补丁:
Stephen Kowski ,SlashNext 邮件安全的现场首席技术官,表示,PAN-OS 中的 DNS 安全功能漏洞使攻击者有可能通过恶意 DNS 数据包干扰网络操作,导致防火墙重启及需要手动干预的维护模式。他还解释道,虽然上月报告的 PAN-OS 问题集中在身份验证绕过或命令注入上,但这次的新 DoS 漏洞专门针对组织用于检测命令与控制威胁、隧道尝试及各种基于 DNS 的攻击的 DNS 检查机制。
Kowski 强调:“Palo Alto Networks在实际使用中发现这一漏洞,表明活跃的利用尝试,使得受影响的组织必须立即进行修补。”他补充说,现代安全方法可以通过多层检查点和利用机器学习分析 DNS流量模式,从而帮助组织即使在主要安全控制被攻破时也能够保持保护。
Jason Soroko ,Sectigo的高级研究员补充道,此漏洞通过操控防火墙的数据平面进行操作。当被利用时,恶意的数据包在经过多次尝试后会触发防火墙进入维护模式,实质上导致长时间的服务中断。
“Palo Alto Networks 在生产使用中发现了这一缺陷,并已报告部分客户的防火墙因阻止这些有害的 DNS 数据包而正在经历 DoS事件,”Soroko 指出。
在尝试解决或获取更多信息时,用户可以通过以下链接访问相关内容: - - -
Leave a Reply