Palo Alto Networks ha emitido una alerta sobre la explotación activa de la vulnerabilidad CVE-2024-3393, que afecta a la funcionalidad de seguridad DNS de su software PAN-OS. Esta debilidad permite a los atacantes deshabilitar los firewalls mediante ataques de denegación de servicio (DoS), causando interrupciones en las operaciones y exponiendo a las organizaciones a riesgos significativos.
Detalles de la vulnerabilidad
La CVE-2024-3393 es una vulnerabilidad de denegación de servicio que permite a un atacante no autenticado enviar paquetes maliciosos diseñados específicamente para reiniciar un firewall afectado. Esto provoca que el dispositivo entre en modo de mantenimiento tras ataques reiterados, requiriendo intervención manual para restaurar su funcionalidad. El aviso de Palo Alto Networks indica:
«Una vulnerabilidad de denegación de servicio en la función de seguridad DNS del software PAN-OS de Palo Alto Networks permite a un atacante no autenticado enviar un paquete malicioso a través del plano de datos del firewall que reinicia el dispositivo.»
Esta falla afecta exclusivamente a dispositivos con la funcionalidad de «Seguridad DNS» habilitada.
Impacto y explotación activa
Palo Alto Networks confirmó que la vulnerabilidad está siendo explotada activamente. Los clientes han reportado interrupciones debido al bloqueo de paquetes DNS maliciosos enviados por atacantes. Las versiones afectadas de PAN-OS incluyen:
- PAN-OS 10.1.14 y versiones anteriores
- PAN-OS 10.2.10 y versiones anteriores
- PAN-OS 11.1.5 y versiones anteriores
La versión PAN-OS 11.0 también está afectada, pero no recibirá parches, ya que alcanzó su fin de vida útil (EOL) el 17 de noviembre.
Soluciones y parches disponibles
Palo Alto Networks ha lanzado actualizaciones para mitigar esta vulnerabilidad. Los parches están disponibles en las siguientes versiones:
- PAN-OS 10.1.14-h8
- PAN-OS 10.2.10-h12
- PAN-OS 11.1.5
- PAN-OS 11.2.3 y versiones posteriores
Es fundamental que las organizaciones actualicen sus dispositivos a estas versiones lo antes posible para protegerse contra posibles ataques.
Medidas de mitigación
Para las organizaciones que no puedan aplicar los parches de inmediato, Palo Alto Networks ha publicado guías de mitigación para minimizar el impacto de la vulnerabilidad. Las medidas incluyen deshabilitar temporalmente el registro de seguridad DNS siguiendo estos pasos:
Para NGFW no gestionados o gestionados por Panorama:
- Navegar a: Objetos → Perfiles de seguridad → Directivas antispyware → DNS → Seguridad DNS en cada perfil antispyware.
- Cambiar la gravedad del registro a «ninguna» para todas las categorías configuradas.
- Confirmar los cambios y revertir la configuración después de aplicar los parches.
Para NGFW administrados por Strata Cloud Manager (SCM):
- Opción 1: Deshabilitar el registro de seguridad DNS directamente en cada NGFW.
- Opción 2: Solicitar soporte técnico para deshabilitar el registro en todos los dispositivos del inquilino.
Para Prisma Access administrado por SCM:
- Abrir un caso de soporte técnico para deshabilitar el registro de seguridad DNS en todos los NGFW del inquilino.
- Solicitar la aceleración de la actualización del inquilino de Prisma Access si es necesario.
Recomendaciones finales
La explotación activa de la CVE-2024-3393 subraya la importancia de mantener una estrategia de ciberseguridad proactiva. Palo Alto Networks insta a sus clientes a:
- Actualizar sus dispositivos a las versiones parcheadas de PAN-OS de inmediato.
- Implementar las medidas de mitigación descritas si no es posible actualizar de manera inmediata.
- Monitorear continuamente el estado de sus firewalls y reportar actividades sospechosas.
La seguridad de la infraestructura de red es crucial para prevenir interrupciones y proteger los datos sensibles de las organizaciones. Mantener los sistemas actualizados y aplicar buenas prácticas de seguridad puede marcar la diferencia frente a amenazas emergentes que están latentes.
Fuente: https://www.bleepingcomputer.com