Menu dostępności

Groźna luka w zabezpieczeniach zapory sieciowej Palo Alto Networks

Groźna luka w zabezpieczeniach zapory sieciowej Palo Alto Networks wykorzystywana w środowisku naturalnym

Palo Alto Networks ujawniło lukę o wysokim stopniu zagrożenia (CVE-2024-3393) w swoim oprogramowaniu PAN-OS, obsługującym zapory nowej generacji.

Końcówka roku nie sprzyja producentowi urządzeń sieciowych do bezpieczeństwa. Nie tak dawno, bo w listopadzie, pisaliśmy o błędzie zero-day. W piątek pojawiła się informacja o kolejnej poważnej podatności, wykorzystywanej w środowisku naturalnym. Szczegóły publikujemy poniżej.

Informacje o podatności CVE-2024-3393

Luka umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji zabezpieczeń DNS poprzez wysyłanie specjalnie spreparowanych pakietów DNS, co prowadzi do stanu odmowy usługi (DoS). W przypadku wielokrotnego wykorzystania błędu w specjalnie do tego celu przygotowanym ataku można spowodować ponowne uruchomienie zapory oraz jej przejście w tryb konserwacji.

Problem wynika z niewłaściwej obsługi wyjątków w funkcji zabezpieczeń DNS PAN-OS. Atakujący mogą wysyłać złośliwe pakiety do zapory, co prowadzi do jej awarii i restartu systemu.

Podatne wersje PAN-OS

Luka CVE-2024-3393 dotyczy kilku wersji oprogramowania PAN-OS:

  • PAN-OS 11.2: dotknięte wszystkie wersje poniżej 11.2.3.
  • PAN-OS 11.1: dotknięte wszystkie wersje poniżej 11.1.5.
  • PAN-OS 10.2: dotknięte wszystkie wersje poniżej 10.2.8, z dodatkowymi poprawkami w wydaniach konserwacyjnych.
  • PAN-OS 10.1: dotknięte wszystkie wersje poniżej 10.1.14.

Klienci korzystający z Prisma Access na podatnych wersjach PAN-OS również są narażeni.

Luka wykorzystywana w środowiskach produkcyjnych

Producent potwierdził zgłoszenia dotyczące wykorzystania luki CVE-2024-3393 w środowiskach produkcyjnych, gdzie atakujący skutecznie przeprowadzili atak odmowy usługi (DoS) poprzez użycie tej podatności.

Chociaż luka nie wpływa na poufność ani integralność danych, jest jednak istotna dla dostępności systemu. Z tego względu stanowi poważne zagrożenie dla organizacji wykorzystujących zapory sieciowe Palo Alto Networks w zakresie zapewniania bezpieczeństwa sieci.

Co robić?

W przypadku, gdy nie jest możliwe natychmiastowe zastosowanie poprawek, tymczasowym obejściem może być wyłączenie rejestrowania zabezpieczeń DNS:

  1. Przejdź do Obiekty → Profile zabezpieczeń → Oprogramowanie antyspyware → Zasady DNS (Objects → Security Profiles → Anti-spyware → DNS Policies).
  2. Ustaw „Log Severity” na „none” dla wszystkich kategorii zabezpieczeń DNS.
  3. Zatwierdź zmiany i pamiętaj, aby przywrócić ustawienia po zastosowaniu poprawek.

Organizacje korzystające z zapór Palo Alto Networks powinny:

  • Natychmiast zastosować poprawki, aby zabezpieczyć swoje systemy.
  • Wdrożyć zalecane obejścia, jeśli nie jest możliwe natychmiastowe zainstalowanie poprawek.
  • Monitorować zachowanie zapory pod kątem nieoczekiwanych ponownych uruchomień lub przejść w tryb konserwacji.
  • Regularnie przeglądać ostrzeżenia dotyczące bezpieczeństwa i utrzymywać systemy na bieżąco, instalując dostępne aktualizacje oprogramowania.

Podsumowanie

Palo Alto Networks to ceniony na całym świecie dostawca urządzeń do bezpieczeństwa. Niestety zarówno powyższy przykład, jak i poprzednie pokazują, że wraz z rozwojem technologii pojawiają się podatności, które potrafią zaskoczyć całą branżę cybersec.

W odpowiedzi na zagrożenie Palo Alto Networks wydało poprawki, które rozwiązują problem w następujących wersjach:

  • PAN-OS 10.1.14-h8
  • PAN-OS 10.2.10-h12
  • PAN-OS 11.1.5
  • PAN-OS 11.2.3

Zaleca się pilne zastosowanie dostępnych poprawek oraz monitorowanie systemów w celu zminimalizowania ryzyka związanego z tą podatnością.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...