Vulnerabilidad CVE-2024-3393 Denegación de Servicio (DoS) en Palo Alto Networks

Resumen rápido

CVE-2024-3393 afecta a la funcionalidad de seguridad DNS de PAN-OS de Palo Alto Networks. Esta vulnerabilidad de Denial of Service (DoS) / Denegación de Servicio permite a un atacante no autenticado reiniciar el firewall enviando un paquete malicioso especialmente diseñado, además, esto repetirse hasta forzar al firewall a entrar en modo de mantenimiento.

¿Qué es el CVE-2024-3393?

Entrando más en detalle, el CVE-2024-3393 se trata de una vulnerabilidad de Denial of Service (DoS) en la funcionalidad de seguridad DNS de PAN-OS de los equipos de Palo Alto. Este fallo permite que un paquete malicioso enviado a través del plano de datos del firewall reinicie el dispositivo de forma inmediata, interrumpiendo el servicio. Si el ataque se ejecuta repetidamente, el firewall puede quedar inutilizable al entrar en modo de mantenimiento.

Productos afectados

Los productos y versiones afectados son:

• PAN-OS 11.2: Versiones anteriores a 11.2.3*.
• PAN-OS 11.1: Versiones anteriores a 11.1.5*.
• PAN-OS 10.2: Entre 10.2.8* y 10.2.14*.
• PAN-OS 10.1: Entre 10.1.14* y 10.1.15*.
• Prisma Access: Versiones específicas dependiendo de la configuración.

Nota: PAN-OS 11.0 ya está fuera de soporte (EOL).

Los productos no afectados incluyen:

• Cloud NGFW.
• Panorama M-Series y virtual appliances.

Condiciones para ser vulnerable:

1. Contar con una licencia de DNS Security (o Advanced DNS Security).
2. Tener habilitado el registro de eventos de DNS Security.

¿Cómo funciona la vulnerabilidad?

Un atacante no autenticado puede explotar esta vulnerabilidad enviando un paquete malicioso diseñado para afectar al firewall. El procesamiento de dicho paquete provoca un fallo crítico que reinicia el firewall. En caso de ataques reiterados, el dispositivo puede entrar en modo de mantenimiento, afectando gravemente la continuidad del servicio.

El problema está relacionado con la debilidad CWE-754: Falta de control de condiciones excepcionales.

Severidad

• ALTA (CVSS 4.0 8.7)
• CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L/AU:N/R:U/V:C/RE:M/U:Amber

Mitigación y soluciones

La vulnerabilidad ha sido corregida en las siguientes versiones de PAN-OS:

• PAN-OS 11.2: Versión 11.2.3* y superiores.
• PAN-OS 11.1: Versión 11.1.5* y superiores.
• PAN-OS 10.2: Versión 10.2.14* y superiores.
• PAN-OS 10.1: Versión 10.1.15* y superiores.

Para clientes de Prisma Access, las actualizaciones se realizarán en dos fases: los fines de semana del 3 y 10 de enero de 2025. Las actualizaciones pueden ser aceleradas mediante la apertura de un caso de soporte.

Recomendaciones adicionales

• Aplicar las actualizaciones recomendadas:
  • Actualizar a las versiones parcheadas mencionadas anteriormente.
• Aplicar mitigaciones temporales si no es posible actualizar inmediatamente:
  • Crear perfiles personalizados Anti-Spyware y ajustar la severidad de registro DNS a «ninguno».
  • Deshabilitar el registro de eventos de DNS Security mediante el gestor Strata Cloud Manager.
• Monitorizar el estado de los firewalls para detectar reinicios inesperados.

Publicación y referencias

• Fecha de publicación inicial: 27 de diciembre de 2024.
• Referencias:
  • NVD: CVE-2024-3393
  • Palo Alto Networks Advisory

Conclusión

CVE-2024-3393 es una vulnerabilidad de severidad alta que afecta a los dispositivos PAN-OS con DNS Security habilitado. Es crucial que las organizaciones implementen las actualizaciones y mitigaciones indicadas para evitar interrupciones en sus sistemas de seguridad. Mantener el software actualizado y monitorizar posibles reinicios inesperados es fundamental para garantizar la continuidad del servicio.

Y recuerda, en digitalninjutsu.com siempre estamos atentos a las últimas noticias para ayudarte a mantenerte un paso adelante en ciberseguridad. Si tienes dudas o necesitas más ayuda, ¡déjanos un comentario o comparte este artículo con quien lo necesite!