Angreifer können an einer Schwachstelle in diversen PAN-OS-Versionen ansetzen, um Firewalls neu zu starten. Dagegen gerüstete Versionen stehen zum Download bereit.
Anzeige
Wie aus einer Warnmeldung hervorgeht, sind davon Firewalls der Serien CN, PA, Prisma Access und VM bedroht. Panorama ist davon nicht betroffen. Die Schwachstelle (CVE-2024-3393 "hoch") findet sich im DNS-Sicherheitsfeature. Daran können Angreifer ohne Authentifizierung ansetzen, indem sie präparierte Pakete an verwundbare Instanzen schicken. Das Ergebnis sind Neustarts. Wiederholte Attacken sollen dazu führen, dass Firewalls im Wartungsmodus starten.
Geräte sind aber nur angreifbar, wenn DNS-Security-Logging aktiv ist und eine DNS-Security-License oder Advanced DNS Security License hinterlegt ist. Die Entwickler geben an, die folgenden PAN-OS-Ausgaben dagegen abgesichert zu haben:
10.1.1410.1.1510.2.810.2.1411.1.511.2.3Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zu Sicherheitsfixes erläuten die Verantwortlichen in der Warnmeldung. Die Entwickler weisen darauf hin, dass der Support für PAN-OS 11.0 am 17. November 2024 ausgelaufen ist und dieser Versionsstrang keine Sicherheitspatches mehr bekommt. An dieser Stelle müssen Admins ein Upgrade vornehmen, um ihre Firewalls absichern zu können. PAN-OS 9.1 und 10.0 sind von dem Sicherheitsproblem nicht betroffen.
Ist die Installation eines Sicherheitspatches nicht umgehend möglich, können Admins ihre Netzwerke über einen Workaround schützen. Wie das funktioniert, führt Palo Alto in der Warnmeldung aus.
Ob es bereits Attacken gibt und an welchen Parametern Admins erfolgreich angegriffene Systeme erkennen können, ist bislang nicht bekannt.
(
Kommentare