聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞影响 PAN-OS 10.X 和11.X 版本以及运行PAN-OS 10.2.8及后续或11.2.3之前版本的 Prisma Access。该漏洞已在 PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3以及后续PAN-OS版本中修复。
Palo Alto 公司上周五发布公告称,“Palo Alto Networks PAN-OS软件的DNS Security 特性中存在一个拒绝服务漏洞,可导致未认证攻击者通过负责重启防火墙的数据面板发送恶意数据包。反复触发该条件可导致防火墙进入维护模式。”
Palo Alto 公司表示在生产使用中发现了该缺陷,并发现客户“的防火墙拦截触发该问题的恶意DNS数据包时,经历了拒绝服务。”
这起攻击活动的范围目前尚不知晓。Palo Alto 公司证实称该漏洞已遭在野利用,“我们积极发布该公告,提供透明度并让客户获得保护自身环境安全的信息。”
值得注意的是,启用了DNS Security 日志记录功能的防火墙受该漏洞影响。另外如果访问权限是通过 Prisma Access 向已认证终端用户提供的,则该漏洞的CVSS严重性评分将至7.1分。
修复方案已扩展至其它常部署的维护发布版本中:
PAN-OS 11.1 (11.1.2-h16、11.1.3-h13、11.1.4-h7和11.1.5)
PAN-OS 10.2(10.2.8-h19、10.2.9-h19、10.2.10-h12、10.2.11-h10、 10.2.12-h4、10.2.13-h2和10.2.14)
PAN-OS 10.1 (10.1.14-h8 和10.1.15)
PAN-OS 10.2.9-h19 和 10.2.10-h12(仅适用于Prisma Access)
PAN-OS 11.0(该版本已在2024年11月17日达到生命周期,因此无修复方案)
作为未管理的防火墙或由 Panorama 管理的防火墙的应变措施和缓解措施,客户可将通过 Objects>Security Profiles>Anti-spyware>(选择一个配置)>DNS Policies>DNS Security,将每个 Anti-Spyware 配置的所有已配置DNS Security 类别的Log Severity 设为 “none”。
对于由 Strata Cloud Manager (SCM) 管理的防火墙,用户可按照如上步骤在每台设备上直接禁用 DNS Security 日志记录功能,或者通过打开支持案例的方式在所有设备上禁用。对于由SCM管理的Prisma Access 租户,建议打开支持案例关闭日志记录功能,等待执行升级。
Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞
https://thehackernews.com/2024/12/palo-alto-releases-patch-for-pan-os-dos.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh