Groźna luka w zabezpieczeniach zapory sieciowej Palo Alto Networks wykorzystywana w środowisku naturalnym

Końcówka roku nie sprzyja producentowi urządzeń sieciowych do bezpieczeństwa. Nie tak dawno, bo w listopadzie, pisaliśmy o błędzie zero-day. W piątek pojawiła się informacja o kolejnej poważnej podatności, wykorzystywanej w środowisku naturalnym. Szczegóły publikujemy poniżej.

Informacje o podatności CVE-2024-3393

Luka umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji zabezpieczeń DNS poprzez wysyłanie specjalnie spreparowanych pakietów DNS, co prowadzi do stanu odmowy usługi (DoS). W przypadku wielokrotnego wykorzystania błędu w specjalnie do tego celu przygotowanym ataku można spowodować ponowne uruchomienie zapory oraz jej przejście w tryb konserwacji.

Problem wynika z niewłaściwej obsługi wyjątków w funkcji zabezpieczeń DNS PAN-OS. Atakujący mogą wysyłać złośliwe pakiety do zapory, co prowadzi do jej awarii i restartu systemu.

Luka w zabezpieczeniach została oceniona na 8,7 w skali CVSS, co oznacza wysoki poziom zagrożenia. Złożoność ataku jest niska – nie wymaga interakcji użytkownika ani specjalnych uprawnień, a sam atak może być przeprowadzony zdalnie przez sieć.

Podatność podkreśla krytyczne znaczenie terminowego zarządzania poprawkami oraz solidnych praktyk monitorowania, które są kluczowe dla ochrony infrastruktury sieciowej przed nowymi zagrożeniami.

Podatne wersje PAN-OS

Luka CVE-2024-3393 dotyczy kilku wersji oprogramowania PAN-OS:

• PAN-OS 11.2: dotknięte wszystkie wersje poniżej 11.2.3.
• PAN-OS 11.1: dotknięte wszystkie wersje poniżej 11.1.5.
• PAN-OS 10.2: dotknięte wszystkie wersje poniżej 10.2.8, z dodatkowymi poprawkami w wydaniach konserwacyjnych.
• PAN-OS 10.1: dotknięte wszystkie wersje poniżej 10.1.14.

Klienci korzystający z Prisma Access na podatnych wersjach PAN-OS również są narażeni.

Luka wykorzystywana w środowiskach produkcyjnych

Producent potwierdził zgłoszenia dotyczące wykorzystania luki CVE-2024-3393 w środowiskach produkcyjnych, gdzie atakujący skutecznie przeprowadzili atak odmowy usługi (DoS) poprzez użycie tej podatności.

Chociaż luka nie wpływa na poufność ani integralność danych, jest jednak istotna dla dostępności systemu. Z tego względu stanowi poważne zagrożenie dla organizacji wykorzystujących zapory sieciowe Palo Alto Networks w zakresie zapewniania bezpieczeństwa sieci.

Co robić?

W przypadku, gdy nie jest możliwe natychmiastowe zastosowanie poprawek, tymczasowym obejściem może być wyłączenie rejestrowania zabezpieczeń DNS:

1. Przejdź do Obiekty → Profile zabezpieczeń → Oprogramowanie antyspyware → Zasady DNS (Objects → Security Profiles → Anti-spyware → DNS Policies).
2. Ustaw „Log Severity” na „none” dla wszystkich kategorii zabezpieczeń DNS.
3. Zatwierdź zmiany i pamiętaj, aby przywrócić ustawienia po zastosowaniu poprawek.

Organizacje korzystające z zapór Palo Alto Networks powinny:

• Natychmiast zastosować poprawki, aby zabezpieczyć swoje systemy.
• Wdrożyć zalecane obejścia, jeśli nie jest możliwe natychmiastowe zainstalowanie poprawek.
• Monitorować zachowanie zapory pod kątem nieoczekiwanych ponownych uruchomień lub przejść w tryb konserwacji.
• Regularnie przeglądać ostrzeżenia dotyczące bezpieczeństwa i utrzymywać systemy na bieżąco, instalując dostępne aktualizacje oprogramowania.

Podsumowanie

Palo Alto Networks to ceniony na całym świecie dostawca urządzeń do bezpieczeństwa. Niestety zarówno powyższy przykład, jak i poprzednie pokazują, że wraz z rozwojem technologii pojawiają się podatności, które potrafią zaskoczyć całą branżę cybersec.

W odpowiedzi na zagrożenie Palo Alto Networks wydało poprawki, które rozwiązują problem w następujących wersjach:

• PAN-OS 10.1.14-h8
• PAN-OS 10.2.10-h12
• PAN-OS 11.1.5
• PAN-OS 11.2.3

Zaleca się pilne zastosowanie dostępnych poprawek oraz monitorowanie systemów w celu zminimalizowania ryzyka związanego z tą podatnością.