Palo Alto Networks近日披露，其下一代防火墻中的PAN-OS軟件存在一個高危漏洞，編號為CVE-2024-3393。該漏洞允許未經身份驗證的攻擊者通過發送精心構造的DNS數據包，利用DNS安全特性觸發拒絕服務(DoS)狀態。若此漏洞被反復利用，可能導致受影響的防火墻重啟并進入維護模式。

問題的根源在于PAN-OS的DNS安全特性對異常情況的處理不當。攻擊者可通過防火墻的數據平面發送惡意數據包，進而使其崩潰并重啟。此漏洞的CVSS評分為8.7(高)，意味著其具有較大的破壞潛力。該攻擊復雜性低，無需用戶交互和權限，且可通過網絡遠程執行。

該漏洞影響多個版本的PAN-OS：

• PAN-OS 11.2：受影響版本低于11.2.3;
• PAN-OS 11.1：受影響版本低于11.1.5;
• PAN-OS 10.2：受影響版本低于10.2.8，且在維護版本中提供了額外修復;
• PAN-OS 10.1：受影響版本低于10.1.14。

使用受影響PAN-OS版本的Prisma Access客戶也存在風險。Palo Alto Networks確認，在生產環境中已出現該漏洞被利用的情況，攻擊者成功觸發了由此導致的DoS攻擊。

盡管該漏洞不影響機密性或完整性，但對可用性影響很大，所以對依賴這些防火墻進行網絡安全保護的組織而言，這是一個關鍵問題。

Palo Alto Networks已發布以下版本的補丁來解決此問題：

• PAN-OS 10.1.14 - h8
• PAN-OS 10.2.10 - h12
• PAN-OS 11.1.5
• PAN-OS 11.2.3

強烈建議客戶升級到這些版本或更高版本以降低風險。

對于無法立即應用修復的用戶，臨時解決方案包括禁用DNS安全日志記錄，具體步驟如下：

• 導航至對象→安全配置文件→反間諜軟件→DNS策略;
• 將所有DNS安全類別的“日志嚴重性”設置為“無”;
• 提交更改，并在應用修復后恢復設置。

使用Palo Alto防火墻的組織應當：

• 立即應用補丁以保護系統;
• 若無法打補丁，則實施推薦的臨時解決方案;
• 監控防火墻行為，查看是否有意外重啟或進入維護模式的情況;
• 定期查看安全通告并保持軟件版本更新。

這一漏洞凸顯了及時進行修補管理以及實施強大監控實踐的重要性，只有這樣才能保護網絡基礎設施免受新出現威脅的攻擊。