一、基本情况
Palo Alto Networks是全球知名的网络安全厂商,PAN-OS是Palo Alto Networks为其防火墙设备开发的操作系统。
二、 漏洞描述
Palo Alto Networks PAN-OS中存在一个拒绝服务漏洞(CVE-2024-3393),其CVSS评分为8.7,目前该漏洞已发现被利用。
Palo Alto Networks PAN-OS的DNS安全功能中存在的拒绝服务漏洞,当设备应用了DNS Security License或Advanced DNS Security License且启用了DNS安全日志记录时,由于防火墙的数据平面(Data Plane)对特制数据包处理不当,未经身份验证的远程攻击者可通过网络发送恶意数据包,导致防火墙重启,并可能多次利用该漏洞使防火墙进入维护模式,从而导致服务中断或影响防火墙的可用性。
三、 影响范围
该漏洞影响Palo Alto Networks PA系列防火墙、VM系列防火墙、CN系列防火墙 和Prisma Access上运行的以下PAN-OS版本:
受影响版本 | 影响范围 | 不受影响版本 |
PAN-OS 11.2 | < 11.2.3* | >= 11.2.3* |
PAN-OS 11.1 | < 11.1.5* | >= 11.1.5* |
PAN-OS 10.2 | >= 10.2.8*, <10.2.14* | < 10.2.8*, >=10.2.14* |
PAN-OS 10.1 | >= 10.1.14*, <10.1.15* | < 10.1.14*, >=10.1.15* |
Prisma Access | >= 10.2.8* onPAN-OS, < 11.2.3* on PAN-OS | < 10.2.8* onPAN-OS, >= 11.2.3* on PAN-OS |
注:只有应用了DNS Security License或Advanced DNS Security License且启用了DNS安全日志记录的设备才会受该漏洞影响。此外,PAN-OS 11.0目前已经停止维护,因此该版本暂无修复。
四、 修复建议
目前该漏洞已经修复,受影响用户可更新到上述不受影响版本。此外,Palo Alto Networks还针对该漏洞发布了其他版本的修复程序:
受影响版本 | 其他修复版本 |
PAN-OS 11.1 | 11.1.2-h16(可用) 11.1.3-h13(可用) 11.1.4-h7(可用) 11.1.5(可用) |
PAN-OS 10.2 | 10.2.8-h19(可用) 10.2.9-h19(可用) 10.2.10-h12(可用) 10.2.11-h10(可用) 10.2.12-h4(可用) 10.2.13-h2(可用) 10.2.14(预计于1月底发布) |
PAN-OS 10.1 | 10.1.14-h8(可用) 10.1.15(预计于1月底发布) |
适用于PrismaAccess的PAN-OS | 10.2.9-h19(可用) 10.2.10-h12(可用) |
