Palo Alto Networks, PAN-OS yazılımını etkileyen ve savunmasız cihazlarda hizmet reddi (DoS) durumuna yol açabilecek yüksek dereceli bir güvenlik açığını duyurdu.

CVE-2024-3393 olarak takip edilen bu güvenlik açığı (CVSS puanı: 8.7), PAN-OS’un 10.X ve 11.X sürümlerini, ayrıca PAN-OS 10.2.8 ve üzeri ile 11.2.3’ten önceki sürümleri çalıştıran Prisma Access’i etkiliyor. Sorun, aşağıdaki sürümlerde giderildi:

• PAN-OS 10.1.14-h8
• PAN-OS 10.2.10-h12
• PAN-OS 11.1.5
• PAN-OS 11.2.3
• Daha sonraki tüm PAN-OS sürümleri

Palo Alto Networks, konuyla ilgili yayınladığı danışma belgesinde şu açıklamayı yaptı:
“PAN-OS yazılımının DNS Güvenliği özelliğindeki bir hizmet reddi güvenlik açığı, kimliği doğrulanmamış bir saldırganın güvenlik duvarının veri düzlemi üzerinden kötü amaçlı bir paket göndermesine ve güvenlik duvarının arızalanmasına neden olmasına olanak tanır.”

Şirket, bu açığın üretim ortamında keşfedildiğini ve müşterilerin, firewall’un bu sorunu tetikleyen kötü amaçlı DNS paketlerini engellediğinde hizmet reddi durumuyla karşılaştığını bildirdi.

Güvenlik Açığının Kullanıldığı Doğrulandı

Palo Alto Networks, güvenlik açığının aktif olarak istismar edildiğini doğruladı. Şirket, şu açıklamayı yaptı:
“Bu danışma belgesini, müşterilerimizi korumak için gerekli bilgileri sağlamak ve şeffaflık adına proaktif olarak yayınladık.”

DNS Güvenliği kaydı etkin olan firewall’lar, CVE-2024-3393’ten etkileniyor. Ancak, yalnızca kimliği doğrulanmış kullanıcılar tarafından erişildiğinde bu açığın şiddeti, CVSS puanının 7.1’e düştüğü belirtiliyor.

Güncellenen Sürümler

Palo Alto Networks, yamaları diğer yaygın kullanılan bakım sürümleri için de yayınladı:

• PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 ve 11.1.5)
• PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 ve 10.2.14)
• PAN-OS 10.1 (10.1.14-h8 ve 10.1.15)
• Prisma Access için PAN-OS 10.2.9-h19 ve 10.2.10-h12

Ancak, PAN-OS 11.0 için herhangi bir düzeltme bulunmuyor, çünkü bu sürüm 17 Kasım 2024 tarihinde kullanım ömrünü doldurdu.

Geçici Çözüm ve Önlemler

• Yönetilmeyen firewall’lar veya Panorama ile yönetilenler için:
  • DNS Güvenliği kaydı devre dışı bırakılabilir. Bunun için Objects > Security Profiles > Anti-spyware > (profil seçimi) > DNS Policies > DNS Security yolunu izleyerek tüm kategorilerde Log Severity “none” olarak ayarlanabilir.
• Strata Cloud Manager (SCM) ile yönetilen firewall’lar için:
  • Yukarıdaki adımlar doğrudan her cihazda veya tüm cihazlar için uygulanabilir. Ayrıca bir destek talebi açarak bu işlem yapılabilir.
• Prisma Access kullanıcıları için:
  • DNS kaydını devre dışı bırakmak ve yükseltme yapılana kadar destek talebi açılması önerilir.

Palo Alto Networks, müşterilerini bu güncellemeleri hemen uygulamaya ve ortamlarını koruma altına almaya çağırıyor.