Palo Alto Networks近日披露，其下一代防火墻中的PAN-OS軟件存在一個(gè)高危漏洞，編號(hào)為CVE-2024-3393。該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)發(fā)送精心構(gòu)造的DNS數(shù)據(jù)包，利用DNS安全特性觸發(fā)拒絕服務(wù)(DoS)狀態(tài)。若此漏洞被反復(fù)利用，可能導(dǎo)致受影響的防火墻重啟并進(jìn)入維護(hù)模式。

問(wèn)題的根源在于PAN-OS的DNS安全特性對(duì)異常情況的處理不當(dāng)。攻擊者可通過(guò)防火墻的數(shù)據(jù)平面發(fā)送惡意數(shù)據(jù)包，進(jìn)而使其崩潰并重啟。此漏洞的CVSS評(píng)分為8.7(高)，意味著其具有較大的破壞潛力。該攻擊復(fù)雜性低，無(wú)需用戶(hù)交互和權(quán)限，且可通過(guò)網(wǎng)絡(luò)遠(yuǎn)程執(zhí)行。

該漏洞影響多個(gè)版本的PAN-OS：

• PAN-OS 11.2：受影響版本低于11.2.3;
• PAN-OS 11.1：受影響版本低于11.1.5;
• PAN-OS 10.2：受影響版本低于10.2.8，且在維護(hù)版本中提供了額外修復(fù);
• PAN-OS 10.1：受影響版本低于10.1.14。

使用受影響PAN-OS版本的Prisma Access客戶(hù)也存在風(fēng)險(xiǎn)。Palo Alto Networks確認(rèn)，在生產(chǎn)環(huán)境中已出現(xiàn)該漏洞被利用的情況，攻擊者成功觸發(fā)了由此導(dǎo)致的DoS攻擊。

盡管該漏洞不影響機(jī)密性或完整性，但對(duì)可用性影響很大，所以對(duì)依賴(lài)這些防火墻進(jìn)行網(wǎng)絡(luò)安全保護(hù)的組織而言，這是一個(gè)關(guān)鍵問(wèn)題。

Palo Alto Networks已發(fā)布以下版本的補(bǔ)丁來(lái)解決此問(wèn)題：

• PAN-OS 10.1.14 - h8
• PAN-OS 10.2.10 - h12
• PAN-OS 11.1.5
• PAN-OS 11.2.3

強(qiáng)烈建議客戶(hù)升級(jí)到這些版本或更高版本以降低風(fēng)險(xiǎn)。

對(duì)于無(wú)法立即應(yīng)用修復(fù)的用戶(hù)，臨時(shí)解決方案包括禁用DNS安全日志記錄，具體步驟如下：

• 導(dǎo)航至對(duì)象→安全配置文件→反間諜軟件→DNS策略;
• 將所有DNS安全類(lèi)別的“日志嚴(yán)重性”設(shè)置為“無(wú)”;
• 提交更改，并在應(yīng)用修復(fù)后恢復(fù)設(shè)置。

使用Palo Alto防火墻的組織應(yīng)當(dāng)：

• 立即應(yīng)用補(bǔ)丁以保護(hù)系統(tǒng);
• 若無(wú)法打補(bǔ)丁，則實(shí)施推薦的臨時(shí)解決方案;
• 監(jiān)控防火墻行為，查看是否有意外重啟或進(jìn)入維護(hù)模式的情況;
• 定期查看安全通告并保持軟件版本更新。

這一漏洞凸顯了及時(shí)進(jìn)行修補(bǔ)管理以及實(shí)施強(qiáng)大監(jiān)控實(shí)踐的重要性，只有這樣才能保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施免受新出現(xiàn)威脅的攻擊。