Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

Avis du 3 janvier : Vulnérabilité activement exploitée dans le système PAN-OS de Palo Alto Networks [CVE-2024-3393].

Date de la divulgation (source) : 26 décembre 2024
Date de déclaration d'exploitation active (source) : 30 décembre 2024

CVE-2024-3393 est une vulnérabilité de déni de service (DoS) affectant les pare-feux PA-Series, VM-Series, CN-Series et Prisma Access exécutant la fonction DNS Security dans les versions PAN-OS suivantes :

  • PAN-OS 11.2: < 11.2.3
  • PAN-OS 11.1: < 11.1.5
  • PAN-OS 10.2: >= 10.2.8 and < 10.2.14
  • PAN-OS 10.1: >= 10.1.14 and < 10.1.15
  • Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS

En cas d'exploitation réussie, un attaquant non authentifié peut envoyer un paquet malveillant à travers le plan de données du pare-feu qui redémarre le pare-feu. Des tentatives répétées de déclenchement de cette condition amèneront le pare-feu à passer en mode maintenance.

Lorsqu'un pare-feu passe en mode maintenance, il cesse temporairement d'appliquer les politiques de sécurité et de protéger le trafic réseau. Le déclenchement répété de cette condition peut forcer le pare-feu à rester en mode maintenance, désactivant ainsi les contrôles de sécurité du réseau.

CVE-2024-3393 a été ajouté à CISA KEV le 30 décembre 2024, et Palo Alto Networks a observé que ses pare-feux bloquaient les paquets DNS malveillants exploitant cette vulnérabilité. L'avis de sécurité de Palo Alto Networks avis de sécurité fournit des instructions de correction et des mesures d'atténuation pour les redémarrages inattendus lorsque le correctif ne peut pas être appliqué immédiatement.

 

Champ d'application Détails
CVE-ID CVE-2024-3393 - CVSS 8.7 (élevé) - attribué par Palo Alto Networks
Description de la vulnérabilité Une vulnérabilité de déni de service dans la fonction de sécurité DNS du logiciel PAN-OS de Palo Alto Networks permet à un attaquant non authentifié d'envoyer un paquet malveillant à travers le plan de données du pare-feu qui redémarre le pare-feu. Des tentatives répétées de déclenchement de cette condition entraîneront le passage du pare-feu en mode maintenance.
Date de la divulgation 26 décembre 2024
Actifs touchés Les pare-feux de la série PA, les pare-feux de la série VM, les pare-feux de la série CN et Prisma Access exécutant la fonction DNS Security. 
Versions de logiciels vulnérables  PAN-OS 11.2: < 11.2.3

PAN-OS 11.1: < 11.1.5

PAN-OS 10.2: >= 10.2.8 and < 10.2.14

PAN-OS 10.1: >= 10.1.14 and < 10.1.15

Prisma Access: >= 10.2.8 on PAN-OS and < 11.2.3 on PAN-OS

PoC disponible ? Nous n'avons pas observé d'exploits publics disponibles au moment de la rédaction du présent document. 
Statut d'exploitation CVE-2024-3393 a été ajouté à CISA KEV le 30 décembre 2024. 
Statut du patch Ce problème est corrigé dans PAN-OS 10.1.15, PAN-OS 10.2.14, PAN-OS 11.1.5, PAN-OS 11.2.3, et toutes les versions ultérieures de PAN-OS. Palo Alto Networks a fourni des instructions supplémentaires pour les solutions de contournement et d'atténuation dans leur avis de sécurité.

Censys Perspective

Au moment de la rédaction du présent document, Censys observait 271,455 de dispositifs exposés utilisant le logiciel PAN-OS. Une grande partie d'entre eux (40%) est géolocalisée aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas vulnérables, car nous ne disposons pas de versions spécifiques.

La plupart de ces dispositifs observés sont des portails GlobalProtect, mais les portails GlobalProtect sont généralement configurés sur une interface existante d'un pare-feu Palo Alto Networks conformément à la documentation GlobalProtect de GlobalProtect.

Carte des dispositifs exposés exécutant PAN-OS :

Censys Requête de recherche :

services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not labels: {honeypot, tarpit}

Censys Requête ASM :

host.services.software: (vendor="Palo Alto Networks" and product="PAN-OS") and not host.labels: {honeypot, tarpit}

 

Références

Solutions de gestion de la surface d'attaque
En savoir plus