Hackers exploit DoS flaw to disable Palo Alto Networks firewalls

Palo Alto Networks は、ハッカーが CVE-2024-3393 のサービス拒否の脆弱性を悪用し、ファイアウォールを強制的に再起動させることでファイアウォール保護を無効にしていると警告している。

しかし、このセキュリティ問題を繰り返し利用すると、デバイスはメンテナンスモードに移行し、通常動作に戻すには手動操作が必要になります。

「パロアルトネットワークスのPAN-OSソフトウェアのDNSセキュリティ機能にサービス拒否の脆弱性があり、認証されていない攻撃者がファイアウォールのデータプレーンを介して悪意のあるパケットを送信し、ファイアウォールを再起動させることができる

DoSバグは活発に悪用されている

パロアルトネットワークスによると、この脆弱性を悪用することは、認証されていない攻撃者が、特別に細工した悪意のあるパケットを影響を受けるデバイスに送信することで可能だという。

この問題は、「DNSセキュリティ」ロギングが有効になっているデバイスにのみ影響し、CVE-2024-3393の影響を受ける製品バージョンは以下のとおり。

Versions

ベンダーは、この欠陥が積極的に悪用されていることを確認し、この問題を利用した攻撃者からの悪意のあるDNSパケットをファイアウォールがブロックした際に、顧客が障害を経験したことを指摘している。

同社は、PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3、およびそれ以降のリリースでこの不具合に対処した。

ただし、CVE-2024-3393の影響を受けるPAN-OS 11.0は、同バージョンが11月17日にEOL(End-of-Life)を迎えたため、パッチは提供されないという。

また、パロアルトネットワークスは、すぐにアップデートができない場合の回避策と問題を軽減するための手順を公開している:

管理対象外の NGFW、Panorama が管理する NGFW、または Panorama が管理する Prisma Access の場合:

  1. に移動します:Objects → Security Profiles → Anti-spyware → DNS Policies → 各アンチスパイウェア プロファイルの DNS Security に移動します。
  2. 設定されているすべての DNS セキュリティ カテゴリについて、[ログの重大度] を「なし」に変更します。
  3. 修正を適用した後、変更をコミットし、ログの重大度設定を元に戻します。

Strata Cloud Manager (SCM)によって管理されるNGFWの場合:

  • オプション1:上記の手順を使用して、各NGFWで直接DNS Securityロギングを無効にします。
  • オプション2:サポートケースを開いて、テナント内のすべてのNGFWでDNS Securityロギングを無効にします。

Strata Cloud Manager(SCM)によって管理されるPrisma Accessの場合:

  1. テナント内のすべてのNGFWにわたってDNS Securityロギングを無効にするために、サポートケースを開きます。
  2. 必要に応じて、サポートケースでPrisma Accessテナントのアップグレードの迅速化をリクエストします。