CVE-2024-3393

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-30

Официальное описание

Palo Alto Networks PAN-OS contains a vulnerability in parsing and logging malicious DNS packets in the DNS Security feature that, when exploited, allows an unauthenticated attacker to remotely reboot the firewall. Repeated attempts to trigger this condition will cause the firewall to enter maintenance mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-3393 представляет собой критическую уязвимость в компоненте DNS Security операционной системы PAN-OS. Проблема заключается в некорректной обработке и логировании специально сформированных вредоносных DNS-пакетов.

При получении такого пакета процесс обработки DNS-трафика аварийно завершается, что приводит к немедленной перезагрузке межсетевого экрана. Поскольку атака может быть выполнена удаленно и не требует аутентификации, злоумышленник может организовать циклическую атаку. Повторяющиеся перезагрузки заставляют устройство перейти в Maintenance Mode (режим обслуживания), что полностью выводит инфраструктуру из строя (DoS — Denial of Service).

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление PAN-OS до исправленной версии. Palo Alto Networks выпустила патчи для всех затронутых веток.

  1. Проверьте текущую версию PAN-OS:
show system info | match sw-version
  1. Обновите систему до одной из следующих (или более новых) версий:
  2. PAN-OS 11.1.2-h3
  3. PAN-OS 11.0.4-h1
  4. PAN-OS 10.2.9-h1

  5. PAN-OS 10.1.13

  6. Для загрузки и установки обновлений через CLI используйте команды:

request system software check


request system software download version <версия>


request system software install version <версия>


request restart system

Временные меры

Если немедленное обновление невозможно, необходимо применить защитные меры для снижения риска эксплуатации:

  1. Обновление контента (Threat Content): Убедитесь, что на устройстве установлена версия Content Release 8837 или выше. Palo Alto выпустила специфические сигнатуры для обнаружения попыток эксплуатации этой уязвимости.

  2. Настройка DNS Security: Временно отключите логирование подозрительных DNS-запросов или измените действие в профиле DNS Security с block на allow (только если это критически необходимо для стабильности и вы уверены в чистоте трафика), чтобы избежать срабатывания уязвимого кода логирования. Однако это снизит уровень безопасности.

  3. Ограничение входящего DNS-трафика: Примените политики безопасности, ограничивающие входящий DNS-трафик (порт 53 UDP/TCP) только доверенными источниками (известными DNS-резолверами), чтобы минимизировать поверхность атаки со стороны внешних неавторизованных узлов.

  4. Мониторинг системных логов: Настройте алертинг на события критических ошибок процессов (process crashes), чтобы оперативно реагировать на попытки эксплуатации:

show log system severity equal critical
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей