Palo AltoPalo Alto Networks یک آسیب‌پذیری با شدت بالا را فاش کرده است که بر نرم‌افزار PAN-OS تأثیر می‌گذارد که می‌تواند شرایط انکار سرویس (DoS) را در دستگاه‌های حساس ایجاد کند.

این نقص که به‌عنوان CVE-2024-3393 ردیابی می‌شود (امتیاز ۸٫۷ در CVSS)، بر نسخه‌های PAN-OS 10.X و ۱۱٫X و همچنین Prisma Access که نسخه‌های PAN-OS 10.2.8 و جدیدتر یا قبل از ۱۱٫۲٫۳ را اجرا می‌کند، تأثیر می‌گذارد. این آسیب‌پذیری در PAN-OS 10.1.14-h8، PAN-OS 10.2.10-h12، PAN-OS 11.1.5، PAN-OS 11.2.3 و همه نسخه‌های PAN-OS بعدی موردبررسی قرار گرفته است.

این شرکت در گزارشی در روز جمعه ۲۷ دسامبر ۲۰۲۴ گفت[۱]: «یک آسیب‌پذیری انکار سرویس در ویژگی امنیت DNS نرم‌افزار PAN-OS شبکه‌های Palo Alto به یک مهاجم غیرقابل احراز هویت اجازه می‌دهد یک بسته مخرب را از طریق صفحه داده فایروال که فایروال را راه‌اندازی مجدد می‌کند، ارسال کند».

“تلاش‌های مکرر برای ایجاد این شرایط باعث می‌شود فایروال وارد حالت تعمیر و نگهداری شود.”

Palo Alto Networks گفت که این نقص در استفاده از تولید را کشف کرده است و از مشتریانی که وقتی فایروال بسته‌های DNS مخربی را که باعث ایجاد این مشکل می‌شوند مسدود می‌کنند، این انکار سرویس (DoS) را تجربه می‌کنند، آگاه است.

وسعت فعالیت در حال حاضر مشخص نیست. وقتی برای اظهارنظر تماس گرفتیم، این شرکت اذعان کرد که این آسیب‌پذیری در سطح اینترنت استفاده می‌شود. این شرکت به The Hacker News گفت: «ما به‌طور فعال این توصیه را برای ارائه شفافیت و تجهیز مشتریان خود به اطلاعات موردنیاز برای محافظت از محیط‌هایشان منتشر کردیم.»

شایان‌ذکر است که فایروال‌هایی که لاگ امنیت DNS را فعال کرده‌اند تحت تأثیر CVE-2024-3393 قرار می‌گیرند. علاوه بر این، هنگامی‌که دسترسی فقط به کاربران نهایی تأییدشده از طریق Prisma Access ارائه می‌شود، شدت نقص به امتیاز ۷٫۱ در CVSS کاهش می‌یابد.

این اصلاحات همچنین به سایر نسخه‌های تعمیر و نگهداری معمول گسترش یافته است:

  • PAN-OS 11.1 (11.1.2-h16، ۱٫۳-h13، ۱۱٫۱٫۴-h7 و ۱۱٫۱٫۵)
  • PAN-OS 10.2 (10.2.8-h19، ۲٫۹-h19، ۱۰٫۲٫۱۰-h12، ۱۰٫۲٫۱۱-h10، ۱۰٫۲٫۱۲-h4، ۱۰٫۲٫۱۳-h2، و ۱۰٫۲٫۱۴)
  • PAN-OS 10.1 (10.1.14-h8 و ۱۰٫۱٫۱۵)
  • PAN-OS 10.2.9-h19 و ۱۰٫۲٫۱۰-h12 (فقط برای Prisma Access قابل استفاده است)
  • PAN-OS 11.0 (به دلیل اینکه در ۱۷ نوامبر ۲۰۲۴ به وضعیت پایان عمر رسیده است، هیچ مشکلی وجود ندارد)

به‌عنوان راه‌حل‌ها و اقدامات کاهشی برای فایروال‌های مدیریت نشده یا آن‌هایی که توسط پانوراما مدیریت می‌شوند، مشتریان می‌توانند با رفتن به Objects > Security Profiles > Anti-spyware > (select a profile) > DNS Policies > DNS Security را برای همه دسته‌های امنیت DNS پیکربندی‌شده برای هر نمایه Anti-Spyware روی none تنظیم کنند[۲].

برای فایروال‌هایی که توسط Strata Cloud Manager (SCM) مدیریت می‌شوند، کاربران می‌توانند مراحل بالا را برای غیرفعال کردن گزارش امنیت DNS مستقیماً در هر دستگاه یا با باز کردن یک مورد پشتیبانی در همه آن‌ها دنبال کنند. برای مستأجران Prisma Access که توسط SCM مدیریت می‌شوند، توصیه می‌شود یک مورد پشتیبانی باز کنید تا ثبت‌نام را تا زمانی که ارتقا انجام نشود، خاموش کنید.

CVE-2024-3393 به کاتالوگ CISA KEV اضافه شد

در ۳۰ دسامبر ۲۰۲۴، نقص امنیتی با شدت بالا که بر نرم‌افزار PAN-OS شبکه‌های پالو آلتو تأثیر می‌گذارد، به فهرست آسیب‌پذیری‌های شناخته‌شده (KEV[3]) آژانس امنیت سایبری و امنیت زیرساخت (CISA) اضافه شد[۴] که به یک شعبه غیرنظامی فدرال (FCEB) نیاز دارد. تا ۲۰ ژانویه ۲۰۲۵ وصله‌ها را اعمال کنید.

(این داستان پس از انتشار به‌روزرسانی شد تا شامل پاسخی از شبکه‌های پالو آلتو و تأیید گزارش‌های بهره‌برداری فعال در سطح اینترنت باشد.)

  منابع

[۱] https://security.paloaltonetworks.com/CVE-2024-3393

[۲] https://docs.paloaltonetworks.com/network-security/security-policy/administration/security-profiles/security-profile-anti-spyware

[۳] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۴] https://www.cisa.gov/news-events/alerts/2024/12/30/cisa-adds-one-known-exploited-vulnerability-catalog

[۵] https://thehackernews.com/2024/12/palo-alto-releases-patch-for-pan-os-dos.html