Fecha de divulgación (fuente): 26 de diciembre de 2024
Fecha en que se comunicó que había sido explotado activamente (fuente): 30 de diciembre de 2024
CVE-2024-3393 es una vulnerabilidad de denegación de servicio (DoS) que afecta a los cortafuegos PA-Series, cortafuegos VM-Series, cortafuegos CN-Series y Prisma Access que ejecutan la función DNS Security en las siguientes versiones de PAN-OS:
- PAN-OS 11.2: < 11.2.3
- PAN-OS 11.1: < 11.1.5
- PAN-OS 10.2: >= 10.2.8 and < 10.2.14
- PAN-OS 10.1: >= 10.1.14 and < 10.1.15
- Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS
Si se explota con éxito, un atacante no autenticado puede enviar un paquete malicioso a través del plano de datos del cortafuegos que lo reinicie. Los intentos repetidos de activar esta condición harán que el cortafuegos entre en modo de mantenimiento.
Cuando un cortafuegos entra en modo de mantenimiento, deja temporalmente de aplicar las políticas de seguridad y de proteger el tráfico de red. La activación repetida de esta condición podría forzar al cortafuegos a permanecer en modo de mantenimiento, desactivando de forma efectiva los controles de seguridad de la red.
CVE-2024-3393 se añadió a CISA KEV el 30 de diciembre de 2024, y Palo Alto Networks ha observado que sus cortafuegos bloquean paquetes DNS maliciosos que aprovechan esta vulnerabilidad. En su aviso de seguridad proporciona instrucciones de parcheo y pasos de mitigación para reinicios inesperados cuando la corrección no puede aplicarse inmediatamente.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-3393 - CVSS 8.7 (alto) - asignado por Palo Alto Networks |
| Descripción de la vulnerabilidad |
Una vulnerabilidad de denegación de servicio en la función de seguridad de DNS del software PAN-OS de Palo Alto Networks permite a un atacante no autenticado enviar un paquete malicioso a través del plano de datos del cortafuegos que lo reinicie. Los intentos repetidos de activar esta condición harán que el cortafuegos entre en modo de mantenimiento. |
| Fecha de divulgación |
26 de diciembre de 2024 |
| Activos afectados |
Cortafuegos de la serie PA, cortafuegos de la serie VM, cortafuegos de la serie CN y Prisma Access que ejecuten la función DNS Security. |
| Versiones de software vulnerables |
PAN-OS 11.2: < 11.2.3
PAN-OS 11.1: < 11.1.5
PAN-OS 10.2: >= 10.2.8 and < 10.2.14
PAN-OS 10.1: >= 10.1.14 and < 10.1.15
Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS |
| ¿PoC disponible? |
No observamos ningún exploit público disponible en el momento de escribir este artículo. |
| Estado de explotación |
CVE-2024-3393 se añadió a CISA KEV el 30 de diciembre de 2024. |
| Estado del parche |
Este problema se ha solucionado en PAN-OS 10.1.15, PAN-OS 10.2.14, PAN-OS 11.1.5, PAN-OS 11.2.3 y todas las versiones posteriores de PAN-OS. Palo Alto Networks proporcionó instrucciones adicionales para soluciones y mitigaciones en su aviso de seguridad. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 271,455 de dispositivos expuestos que ejecutan software PAN-OS. Una gran proporción de ellos (40%) están geolocalizados en Estados Unidos. Tenga en cuenta que no todos los casos observados son vulnerables, ya que no disponemos de versiones específicas.
La mayoría de estos dispositivos observados son portales GlobalProtect, pero los portales GlobalProtect se configuran normalmente en una interfaz existente de un cortafuegos de Palo Alto Networks de acuerdo con la documentación de GlobalProtect ..
Mapa de dispositivos expuestos que ejecutan PAN-OS:
Censys Consulta de búsqueda:
services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not labels: {honeypot, tarpit}
Censys Consulta ASM:
host.services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not host.labels: {honeypot, tarpit}
Referencias
