Palo Alto Networks afirmó que descubrió la falla en el uso de producción y que tiene conocimiento de clientes «que experimentan esta denegación de servicio (DoS) cuando su firewall bloquea paquetes DNS maliciosos que desencadenan este problema».
Se desconoce por el momento el alcance de la actividad. Hacker News se ha puesto en contacto con Palo Alto Networks para obtener más comentarios y actualizaremos la historia si recibimos respuesta.
Vale la pena señalar que los firewalls que tienen habilitado el registro de seguridad de DNS se ven afectados por CVE-2024-3393. La gravedad de la falla también se reduce a una puntuación CVSS de 7,1 cuando solo se proporciona acceso a usuarios finales autenticados a través de Prisma Access.
Las correcciones también se han extendido a otras versiones de mantenimiento implementadas comúnmente:
- PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 y 11.1.5)
- PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 y 10.2.14)
- PAN-OS 10.1 (10.1.14-h8 y 10.1.15)
- PAN-OS 10.2.9-h19 y 10.2.10-h12 (solo aplicable a Prisma Access)
- PAN-OS 11.0 (no se ha corregido debido a que alcanzó el estado de fin de vida útil el 17 de noviembre de 2024)
Como solución alternativa y mitigaciones para firewalls no administrados o aquellos administrados por Panorama, los clientes tienen la opción de configurar la Gravedad del registro en «ninguna» para todas las categorías de Seguridad DNS configuradas para cada perfil Anti-Spyware navegando a Objetos > Perfiles de seguridad > Anti-spyware > (seleccione un perfil) > Políticas DNS > Seguridad DNS.
En el caso de los firewalls administrados por Strata Cloud Manager (SCM), los usuarios pueden seguir los pasos anteriores para desactivar el registro de seguridad de DNS directamente en cada dispositivo o en todos ellos abriendo un caso de soporte. En el caso de los inquilinos de Prisma Access administrados por SCM, se recomienda abrir un caso de soporte para desactivar el registro hasta que se realice una actualización.
