Palo Alto Networks ha lanzado parches para la vulnerabilidad CVE-2024-3393 en PAN-OS, que permite a atacantes no autenticados causar una denegación de servicio (DoS) enviando paquetes DNS maliciosos. Se recomienda actualizar a las versiones corregidas para mitigar este riesgo.
Detalles de la vulnerabilidad CVE-2024-3393
La vulnerabilidad CVE-2024-3393 afecta al componente de seguridad DNS en el software PAN-OS de Palo Alto Networks. Esta falla permite que un atacante no autenticado envíe paquetes DNS maliciosos a través del plano de datos del firewall, provocando su reinicio y generando una condición de denegación de servicio (DoS) [2]. Explotaciones repetidas pueden forzar al firewall a entrar en modo de mantenimiento, afectando significativamente su disponibilidad [3] [4]. Palo Alto Networks ha publicado actualizaciones para mitigar este problema y recomienda a los usuarios actualizar a las versiones corregidas lo antes posible.
Productos y versiones afectadas
Tabla 1. Productos y versiones afectadas
| Productos Afectados | Versiones Afectadas | Solución |
| PAN-OS | Desde 11.2.0 hasta anteriores a 11.2.3. | Actualizar a la versión 11.2.3 o posterior. |
| Desde 11.1.0 hasta anteriores a 11.1.2-h16. | Actualizar a la versión 11.1.2-h16 o posterior. | |
| Desde 10.2.8 hasta anteriores a 10.2.8-h19. | Actualizar a la versión 10.2.8-h19 o posterior. | |
| Desde 10.1.14 hasta anteriores a 10.1.14-h8. | Actualizar a la versión 10.1.14-h8 o posterior. | |
| Prisma Access en PAN-OS | Desde la 10.2.8 en adelante. | Actualizar a la versión 10.2.9-h19 o posterior. |
| Desde 11.2.0 hasta anteriores a 11.2.3. | Actualizar a la versión 11.2.3 o posterior. |
Soluciones alternativas y mitigaciones
Si su firewall con versiones vulnerables de PAN-OS deja de responder o se reinicia inesperadamente y no puede aplicar una solución de inmediato, implemente una de las siguientes soluciones según su despliegue [3].
Para NGFW no gestionados, NGFW gestionados por Panorama o Prisma Access gestionado por Panorama:
- Acceda a: Objects → Security Profiles → Anti-Spyware → (seleccione un perfil) → DNS Policies → DNS Security para cada perfil Anti-Spyware.
- Cambie la Severidad de Registro a «none» para todas las categorías de seguridad DNS configuradas.
- Aplice los cambios y, después de implementar las correcciones, restablezca la configuración de Severidad de Registro a su estado original.
Para NGFW gestionados por Strata Cloud Manager (SCM):
- Opción 1: deshabilite el registro de seguridad DNS directamente en cada NGFW siguiendo los pasos mencionados anteriormente.
- Opción 2: deshabilite el registro de seguridad DNS en todos los NGFW de su inquilino abriendo un caso de soporte.
Para Prisma Access gestionado por Strata Cloud Manager (SCM):
- Abra un caso de soporte para deshabilitar el registro de seguridad DNS en todos los NGFW de su inquilino.
- Si es necesario, solicite acelerar la actualización de su inquilino de Prisma Access en el caso de soporte.
Estas medidas son temporales y se recomienda revertirlas una vez que se apliquen las actualizaciones oficiales que solucionan la vulnerabilidad.
Recomendaciones
- Actualizar los sistemas PAN-OS a las versiones corregidas disponibles.
- Si no es posible actualizar de inmediato, desactivar el registro de seguridad DNS en los perfiles Anti-Spyware para mitigar temporalmente el riesgo.
- Monitorear reinicios inesperados o comportamientos anómalos que puedan indicar intentos de explotación de esta vulnerabilidad.
Referencia:
[1] B. Toulas, «Hackers exploit DoS flaw to disable Palo Alto Networks firewalls,» Bleeping Computer, 27 Diciembre 2024. [En línea]. Available: https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/.
[2] D. Son, «CVE-2024-3393: PAN-OS Vulnerability Now Exploited in the Wild,» Cybersecurity News, 26 Diciembre 2024. [En línea]. Available: https://securityonline.info/cve-2024-3393-pan-os-vulnerability-now-exploited-in-the-wild/.
[3] «CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet,» Palo Alto Networks, Inc, 26 Diciembre 2024. [En línea]. Available: https://security.paloaltonetworks.com/CVE-2024-3393.
[4] «CVE-2024-3393,» CVE, 27 Diciembre 2024. [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-3393.
