Palo Alto Lanza Parche para Vulnerabilidad de DoS en PAN-OS: Actualiza de Inmediato

Palo Alto Networks ha publicado un parche para una vulnerabilidad de alta gravedad en su software PAN-OS. Esta falla, identificada como CVE-2024-3393 (con una puntuación CVSS de 8.7), permite a un atacante no autenticado provocar una condición de denegación de servicio (DoS) en dispositivos vulnerables.

Detalles de la Vulnerabilidad

La vulnerabilidad reside en la función de seguridad DNS de PAN-OS y afecta a las siguientes versiones:

  • PAN-OS 10.X y 11.X.
  • Prisma Access con PAN-OS desde la versión 10.2.8 y anteriores a la 11.2.3.

El problema ha sido solucionado en las siguientes versiones de PAN-OS:

  • 10.1.14-h8
  • 10.2.10-h12
  • 11.1.5
  • 11.2.3 y versiones posteriores.

Según el aviso de Palo Alto Networks, esta vulnerabilidad permite que un atacante envíe un paquete malicioso a través del plano de datos del firewall, lo que reinicia el dispositivo afectado. Si se intenta explotar repetidamente, el firewall podría entrar en modo de mantenimiento, interrumpiendo significativamente su funcionamiento.

Impacto y Actividad Conocida

La vulnerabilidad fue descubierta durante el uso en producción, y Palo Alto Networks ha confirmado que ya se está utilizando activamente en ataques. Los dispositivos afectados son aquellos que tienen habilitado el registro de seguridad DNS.

Aunque el impacto de la vulnerabilidad es mayor para usuarios no autenticados, su severidad disminuye a una puntuación CVSS de 7.1 cuando los ataques provienen de usuarios autenticados a través de Prisma Access.

Versiones Actualizadas y Parcheadas

Además de las actualizaciones principales mencionadas, los parches han sido extendidos a otras versiones de mantenimiento comúnmente implementadas, incluyendo:

  • PAN-OS 11.1: versiones desde 11.1.2-h16 hasta 11.1.5.
  • PAN-OS 10.2: desde 10.2.8-h19 hasta 10.2.14.
  • PAN-OS 10.1: 10.1.14-h8 y 10.1.15.
  • Prisma Access: versiones 10.2.9-h19 y 10.2.10-h12.

Cabe destacar que PAN-OS 11.0 no cuenta con correcciones debido a que alcanzó el estado de fin de vida útil el 17 de noviembre de 2024.

Mitigaciones Temporales

Para quienes no puedan aplicar las actualizaciones de inmediato, Palo Alto Networks recomienda deshabilitar el registro de seguridad DNS como una medida de mitigación temporal. Esto puede lograrse configurando la severidad de los registros en “none” para todas las categorías DNS de los perfiles Anti-Spyware.

Pasos específicos:

  1. Navegar a Objetos > Perfiles de Seguridad > Anti-Spyware.
  2. Seleccionar un perfil.
  3. Modificar las políticas DNS en la sección de seguridad DNS y establecer la severidad en “none”.

Para dispositivos gestionados por Strata Cloud Manager (SCM), se puede seguir el mismo procedimiento o abrir un caso de soporte para implementar los cambios a nivel general.

Conclusión: Actualiza Ahora para Proteger tu Entorno

Esta vulnerabilidad representa un riesgo considerable para los sistemas de seguridad perimetral, especialmente en entornos empresariales que dependen de firewalls Palo Alto para proteger sus redes. Es crucial que las organizaciones implementen las actualizaciones disponibles de inmediato para minimizar el riesgo de interrupciones operativas.

Las mitigaciones temporales son útiles para reducir el impacto hasta que las actualizaciones puedan ser implementadas, pero no deben considerarse una solución a largo plazo. Asegúrate de planificar y ejecutar las actualizaciones necesarias para mantener la seguridad de tu infraestructura de red.

Related Posts
Clear Filters

La autenticación multifactor (MFA) de Microsoft es un mecanismo de seguridad diseñado para proteger el acceso a cuentas y servicios,…

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.