Datum der Offenlegung (Quelle): Dezember 26, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): Dezember 30, 2024
CVE-2024-3393 ist eine Denial of Service (DoS)-Schwachstelle, die Firewalls der PA-Serie, VM-Serie, CN-Serie und Prisma Access betrifft, die die DNS-Sicherheitsfunktion in den folgenden PAN-OS-Versionen:
- PAN-OS 11.2: < 11.2.3
- PAN-OS 11.1: < 11.1.5
- PAN-OS 10.2: >= 10.2.8 and < 10.2.14
- PAN-OS 10.1: >= 10.1.14 and < 10.1.15
- Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS
Bei erfolgreicher Ausnutzung kann ein nicht authentifizierter Angreifer ein bösartiges Paket über die Datenebene der Firewall senden, das die Firewall neu startet. Wiederholte Versuche, diesen Zustand auszulösen, führen dazu, dass die Firewall in den Wartungsmodus wechselt.
Wenn eine Firewall in den Wartungsmodus wechselt, setzt sie vorübergehend keine Sicherheitsrichtlinien mehr durch und schützt den Netzwerkverkehr nicht mehr. Das wiederholte Auslösen dieser Bedingung kann die Firewall dazu zwingen, im Wartungsmodus zu verbleiben, wodurch die Netzwerksicherheitskontrollen effektiv deaktiviert werden.
CVE-2024-3393 wurde am 30. Dezember 2024 zu CISA KEV hinzugefügt, und Palo Alto Networks hat beobachtet, dass seine Firewalls bösartige DNS-Pakete blockieren, die diese Sicherheitslücke ausnutzen. Ihr Sicherheitshinweis enthält Anweisungen zum Patchen und Maßnahmen zur Abhilfe bei unerwarteten Neustarts, wenn die Korrektur nicht sofort angewendet werden kann.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-3393 - CVSS 8.7 (hoch) - zugewiesen von Palo Alto Networks |
| Schwachstelle Beschreibung |
Eine Denial-of-Service-Schwachstelle in der DNS-Sicherheitsfunktion der PAN-OS-Software von Palo Alto Networks ermöglicht es einem nicht authentifizierten Angreifer, ein bösartiges Paket über die Datenebene der Firewall zu senden, das einen Neustart der Firewall bewirkt. Wiederholte Versuche, diesen Zustand auszulösen, führen dazu, dass die Firewall in den Wartungsmodus wechselt. |
| Datum der Offenlegung |
26. Dezember 2024 |
| Betroffene Vermögenswerte |
PA-Series Firewalls, VM-Series Firewalls, CN-Series Firewalls und Prisma Access mit der DNS-Sicherheitsfunktion. |
| Anfällige Software-Versionen |
PAN-OS 11.2: < 11.2.3
PAN-OS 11.1: < 11.1.5
PAN-OS 10.2: >= 10.2.8 and < 10.2.14
PAN-OS 10.1: >= 10.1.14 and < 10.1.15
Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS |
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Berichts waren keine öffentlichen Exploits verfügbar. |
| Verwertungsstatus |
CVE-2024-3393 wurde am 30. Dezember 2024 zu CISA KEV hinzugefügt. |
| Patch-Status |
Dieses Problem ist in PAN-OS 10.1.15, PAN-OS 10.2.14, PAN-OS 11.1.5, PAN-OS 11.2.3 und allen späteren PAN-OS-Versionen behoben. Palo Alto Networks hat zusätzliche Anweisungen für Workarounds und Abhilfemaßnahmen in seinem Sicherheitshinweis. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 271,455 ungeschützte Geräte mit PAN-OS-Software. Ein großer Teil dieser Geräte (40%) ist in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen verwundbar sind, da wir keine spezifischen Versionen zur Verfügung haben.
Die meisten dieser beobachteten Geräte sind GlobalProtect Portals, aber GlobalProtect Portals werden in der Regel auf einer vorhandenen Schnittstelle einer Palo Alto Networks Firewall gemäß der GlobalProtect Dokumentation.
Karte der gefährdeten Geräte mit PAN-OS:
Censys Search Abfrage:
services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
host.services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not host.labels: {honeypot, tarpit}
Referenzen
