Palo Alto виправляє використану помилку відмови в обслуговуванні брандмауера

Недолік існує в програмному забезпеченні PAN-OS, яке керує пристроями компанії. Компанія повідомила, що її хмарний NGFW – це означає брандмауер наступного покоління – не постраждав.

«Уразливість до відмови в обслуговуванні у функції безпеки DNS програмного забезпечення Palo Alto Networks PAN-OS дозволяє неавтентифікованому зловмиснику надіслати шкідливий пакет через площину даних брандмауера, який перезавантажує брандмауер», — йдеться в заяві компанії в четвер. консультативний. «Повторні спроби викликати цю умову спричинять перехід брандмауера в режим обслуговування».

Уразливість відстежується як CVE-2024-3393.

Адміністратори брандмауера повідомили про активні атаки, починаючи з вівторка. «Проблема використовується, коли брандмауер блокує зловмисний трафік DNS», — написав один адміністратор у субредіті Palo Alto Networks Firewall. Така функція забезпечується функцією «Advanced DNS Security» у продуктах Palo Alto.

Пало-Альто оцінив серйозність дефекту як «високий» із «помірною» терміновістю усунення. Для брандмауерів уразливість має значення CVSS 8,7. Компанія заявила, що недолік також існує в її периферійних пристроях служби безпеки Prisma Access, «коли вони надають доступ лише автентифікованим кінцевим користувачам», з рейтингом CVSS 7,1.

Британський експерт з питань безпеки Кевін Бомонт сказав, що зловмисники можуть використовувати недолік не просто для перезавантаження, але й для збою вразливих пристроїв. «Якщо ви запускаєте експлойт кілька разів проти пари HA-пристроїв Palo Alto, вони обидва виходять з ладу та не перезавантажуються. Неважливо, якщо ви не надасте DNSSEC в Інтернеті», — сказав він у дописі для Mastodon. «Ремонт полягає в фізичному перезавантаженні обох коробок. Отже, виправлення».

Один адміністратор брандмауера Пало-Альто сказав у дописі на Reddit, що безпосередньо перед тим, як їхні брандмауери почали перезавантажуватися 24 грудня – заднім числом, мабуть, через те, що хтось скористався цією вадою, – вони побачили несподіване перемикання високої доступності, але в журналах нічого, крім Palo Хмарний продукт Alto для аналізу зловмисного програмного забезпечення WildFire оновлюється, але виявилося, що він не є винуватцем.

«Безумовно, я подумав, що це було дивно напередодні Різдва, коли ми мали випадкове перемикання високої доступності через «нестачу пам’яті», — сказав адміністратор. «Наш перегляд журналів не показав нічого, окрім оновлення Wildfire, яке відбулося хвилиною раніше, і ми підозрювали, що це було причиною. Засвоєний урок. Palos не перезавантажується самостійно. Де є дим, там є вогонь. “

Пало-Альто сказав, що «реєстрація безпеки DNS повинна бути ввімкнена, щоб ця проблема вплинула на програмне забезпечення PAN-OS», яка є частиною функції «Розширена безпека DNS» продуктів.

На веб-сайті постачальника сказано, що користувачі повинні заплатити за «активну ліцензію Advanced DNS Security», щоб увімкнути цю функцію, яка, за словами компанії, працює з використанням як «машинного навчання, так і краудсорсингу», щоб негайно вжити заходів для блокування потенційних атак нульового дня та появи зловмисного програмного забезпечення.

Здається, не має значення те, чи підписалися компанії на таку ліцензію, для цілей використання вразливостей. «Мабуть, відсутність ліцензії не має значення», — сказав один адміністратор у субредіті Palo Alto Networks Firewall у п’ятницю, посилаючись на інформацію, опубліковану Центром технічної допомоги Пало-Альто. «Ви все ще вразливі. Тому радимо виправити або застосувати обхідний шлях».

Щоб усунути недолік, постачальник розгорнув ряд оновлень PAN-OS для версій 11.1.x, 10.2.x і 10.1.x. «Цю проблему вирішено в PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 і в усіх наступних версіях PAN-OS», — йдеться в повідомленні. «Примітка: термін служби PAN-OS 11.0 закінчився 17 листопада, тому ми не маємо наміру надавати виправлення для цього випуску».

Компанія також детально розповіла про тимчасові засоби пом’якшення, які компанії можуть застосувати, доки вони не зможуть виправити.

Пало-Альто сказав, що клієнти Prisma Access, які використовують DNS Security із ураженою версією PAN-OS, повинні застосувати один із цих двох обхідних шляхів залежно від того, чи використовують вони інструменти керування брандмауером Panorama чи Strata Cloud Manager. Ці тимчасові обхідні шляхи відповідно передбачають установку серйозності журналу безпеки DNS на «немає» або повне вимкнення журналу безпеки DNS. Користувачі повинні не забути повторно ввімкнути ці функції після того, як постачальник видасть виправлення.

Компанія пообіцяла опублікувати Prisma Access протягом двох тижнів. «Ми виконаємо оновлення у два етапи для постраждалих клієнтів у вихідні дні 3 січня та 10 січня», — заявили в компанії.

Порок Palo Alto виглядає схожим на зовсім іншу вразливість нульового дня, яка нещодавно виявилася в програмному забезпеченні FortiOS, яке запускає пристрої Fortinet, сказав Бомонт. Для продуктів Fortinet уразливість може бути використана «пакетом без керування, який змушує FortiOS не вистачати пам’яті та перейти у режим failopen», — сказав він. Це посилання на режим нестачі пам’яті, в який переходять пристрої, коли буфер необроблених сокетів системи виявлення вторгнень заповнюється, і вона більше не може перевіряти пакети. Пристрої можуть бути налаштовані на «невідповідне відкриття» та пропускання подальших пакетів без перевірки, або на «помилкове закриття» та блокування всіх пакетів, доки перевірка IPS не відновиться.

«Щоб розширити це: я знаю, що телекомунікаційна компанія стикається з відмовою в обслуговуванні, використовуючи обидві вульни, група електронних злочинців фактично виявилася з нульовими днями без керування брандмауером, що є ще однією ескалацією», — сказав Бомонт.

Як і у випадку з недоліком Пало-Альто, він сказав, що недолік FortiOS можна виправити, оновивши пристрої, які все ще підтримуються, до останньої версії операційної системи.

Атака на периферійні пристрої — це тактика, яка регулярно використовується як злочинними, так і державними групами (див.: Пало-Альто повідомляє про використання брандмауерів із використанням невідомої помилки).