关于Palo Alto Networks PAN-OS拒绝服务漏洞(CVE-2024-3393)的安全预警
一、 基本情况
Palo Alto Networks是全球知名的网络安全厂商,PAN-OS是Palo Alto Networks为其防火墙设备开发的操作系统。
二、 漏洞描述
Palo Alto Networks PAN-OS中存在一个拒绝服务漏洞(CVE-2024-3393),其CVSS评分为8.7,目前该漏洞已发现被利用。
Palo Alto Networks PAN-OS 的 DNS 安全功能中存在的拒绝服务漏洞,当设备应用了 DNS Security License 或 Advanced DNS Security License且启用了DNS安全日志记录时,由于防火墙的数据平面(Data Plane)对特制数据包处理不当,未经身份验证的远程攻击者可通过网络发送恶意数据包,导致防火墙重启,并可能多次利用该漏洞使防火墙进入维护模式,从而导致服务中断或影响防火墙的可用性。
三、 影响范围
该漏洞影响Palo Alto Networks PA 系列防火墙、VM 系列防火墙、CN 系列防火墙 和 Prisma Access 上运行的以下 PAN-OS 版本:
受影响版本 |
影响范围 |
不受影响版本 |
PAN-OS 11.2 |
< 11.2.3* |
>= 11.2.3* |
PAN-OS 11.1 |
< 11.1.5* |
>= 11.1.5* |
PAN-OS 10.2 |
>= 10.2.8*, < 10.2.14* |
< 10.2.8*, >= 10.2.14* |
PAN-OS 10.1 |
>= 10.1.14*, < 10.1.15* |
< 10.1.14*, >= 10.1.15* |
Prisma Access |
>= 10.2.8* on PAN-OS, < 11.2.3* on PAN-OS |
< 10.2.8* on PAN-OS, >= 11.2.3* on PAN-OS |
注:只有应用了DNS Security License 或 Advanced DNS Security License且启用了DNS安全日志记录的设备才会受该漏洞影响。此外,PAN-OS 11.0目前已经停止维护,因此该版本暂无修复。
四、 修复建议
目前该漏洞已经修复,受影响用户可更新到上述不受影响版本。此外,Palo Alto Networks还针对该漏洞发布了其他版本的修复程序:
受影响版本 |
其他修复版本 |
PAN-OS 11.1 |
11.1.2-h16(可用) 11.1.3-h13(可用) 11.1.4-h7(可用) 11.1.5(可用) |
PAN-OS 10.2 |
10.2.8-h19(可用) 10.2.9-h19(可用) 10.2.10-h12(可用) 10.2.11-h10(可用) 10.2.12-h4(可用) 10.2.13-h2(可用) 10.2.14(预计于1月底发布) |
PAN-OS 10.1 |
10.1.14-h8(可用) 10.1.15(预计于1月底发布) |
适用于Prisma Access 的 PAN-OS |
10.2.9-h19(可用) 10.2.10-h12(可用) |
下载链接:
https://www.paloaltonetworks.com/network-security/pan-os
五、 参考链接
https://security.paloaltonetworks.com/CVE-2024-3393
https://nvd.nist.gov/vuln/detail/CVE-2024-3393
