{"id":10313,"date":"2024-12-27T18:42:56","date_gmt":"2024-12-28T00:42:56","guid":{"rendered":"https:\/?post_type=publicacion&#038;p=10313"},"modified":"2024-12-27T18:51:16","modified_gmt":"2024-12-28T00:51:16","slug":"alerta-2024-73-vulnerabilidad-dos-en-pan-os-de-palo-alto","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2024-73-vulnerabilidad-dos-en-pan-os-de-palo-alto\/","title":{"rendered":"Alerta 2024-73 Vulnerabilidad DoS en PAN-OS de Palo Alto"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>PAN-OS 11.1 (11.1.2-h16, 11.1.3-h13, 11.1.4-h7 y 11.1.5)<\/li>\n\n\n\n<li>PAN-OS 10.2 (10.2.8-h19, 10.2.9-h19, 10.2.10-h12, 10.2.11-h10, 10.2.12-h4, 10.2.13-h2 y 10.2.14)<\/li>\n\n\n\n<li>PAN-OS 10.1 (10.1.14-h8 y 10.1.15)<\/li>\n\n\n\n<li>PAN-OS 10.2.9-h19 y 10.2.10-h12 (solo aplicable a Prisma Access)<\/li>\n\n\n\n<li>PAN-OS 11.0 (no se ha corregido debido a que alcanz\u00f3 el estado de fin de vida \u00fatil el 17 de noviembre de 2024)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha publicado&nbsp;una vulnerabilidad de criticidad alta que afecta al software PAN-OS de Palo Alto y que podr\u00eda provocar una condici\u00f3n de denegaci\u00f3n de servicio (DoS) en dispositivos afectados, la falla, fue identificada como CVE-2024-3393 con puntuaci\u00f3n CVSS 8.7.<\/p>\n\n\n\n<p>De acuerdo a comentarios hechos por tecnicos de Palo Alto, la vulnerabilidad de DoS afecta a la funci\u00f3n de seguridad DNS del software PAN-OS permitiendo a un atacante no autenticado enviar un paquete malicioso a trav\u00e9s del plano de datos del firewall haciendo que este se reinicie. Para que la vulnerabilidad afecta al firewall es necesario tener habilitado el registro de seguridad DNS.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n<\/h2>\n\n\n\n<p><strong><strong>Para NGFW no administrados, NGFW administrados por Panorama o Prisma Access administrado por Panorama:<\/strong><\/strong><\/p>\n\n\n\n<p>Como soluci\u00f3n alternativa y mitigaciones para firewalls no administrados o aquellos administrados por Panorama de Palo Alto, los clientes tienen la opci\u00f3n de configurar la Gravedad del registro en \u00abninguna\u00bb para todas las categor\u00edas de Seguridad DNS configuradas para cada&nbsp;<a href=\"https:\/\/docs.paloaltonetworks.com\/network-security\/security-policy\/administration\/security-profiles\/security-profile-anti-spyware\" target=\"_blank\" rel=\"noreferrer noopener\">perfil Anti-Spyware<\/a>&nbsp;navegando a&nbsp;<\/p>\n\n\n\n<p>Objetos &gt; Perfiles de seguridad &gt; Anti-spyware &gt; (seleccione un perfil) &gt; Pol\u00edticas DNS &gt; Seguridad DNS.<\/p>\n\n\n\n<p>(En ingles ser\u00eda: Objects \u2192 Security Profiles \u2192 Anti-spyware \u2192 (select a profile) \u2192 DNS Policies \u2192 DNS Security.)<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"716\" height=\"554\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image.png\" alt=\"\" class=\"wp-image-10315\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image.png 716w, https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image-300x232.png 300w\" sizes=\"(max-width: 716px) 100vw, 716px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"398\" height=\"486\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image-1.png\" alt=\"\" class=\"wp-image-10317\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image-1.png 398w, https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/12\/image-1-246x300.png 246w\" sizes=\"(max-width: 398px) 100vw, 398px\" \/><\/figure>\n\n\n\n<p>Recuerde revertir la configuraci\u00f3n de Log Severity una vez que se apliquen las correcciones.<\/p>\n\n\n\n<p><strong>Para NGFW administrado por Strata Cloud Manager (SCM):<\/strong><\/p>\n\n\n\n<p>En el caso de los firewalls administrados por Strata Cloud Manager (SCM), los usuarios pueden seguir los pasos anteriores para desactivar el registro de seguridad de DNS directamente en cada dispositivo o en todos ellos abriendo un caso de soporte.&nbsp;<\/p>\n\n\n\n<p><strong>Para Prisma Access administrado por Strata Cloud Manager (SCM):<\/strong><\/p>\n\n\n\n<p>En el caso de los inquilinos de Prisma Access administrados por SCM, se recomienda abrir un caso de soporte para desactivar el registro hasta que se realice una actualizaci\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n<\/h2>\n\n\n\n<p>Seg\u00fan el equipo de Palo Alto,&nbsp;este problema se solucion\u00f3 en PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 y todas las versiones posteriores de PAN-OS.<\/p>\n\n\n\n<p>Para&nbsp;&nbsp;PAN-OS 11.0 la cual lleg\u00f3&nbsp;&nbsp;al final de su vida \u00fatil (EOL) el 17 de noviembre de 2024, no habr\u00e1 actualizaci\u00f3n que solucion\u00e9 dicha vulnerabilidad.&nbsp;<\/p>\n\n\n\n<p>Puede encontrar un gu\u00eda para actualizaci\u00f3n en el siguiente enlace:&nbsp;<\/p>\n\n\n\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-2\/pan-os-upgrade\/software-and-content-updates\/pan-os-software-updates\">https:\/\/docs.paloaltonetworks.com\/pan-os\/10-2\/pan-os-upgrade\/software-and-content-updates\/pan-os-software-updates<\/a><\/p>\n\n\n\n<p>Los clientes de Prisma Access que utilicen DNS Security con versiones de PAN-OS afectadas deben aplicar una de las soluciones alternativas que se ofrecen a continuaci\u00f3n:&nbsp;<\/p>\n\n\n\n<p>Las actualizaciones se realizar\u00e1n en dos fases para los clientes afectados, durante los fines de semana del 3 y el 10 de enero. Puede solicitar una actualizaci\u00f3n acelerada de Prisma Access a la \u00faltima versi\u00f3n de PAN-OS abriendo un&nbsp;<a href=\"https:\/\/support.paloaltonetworks.com\/Support\/Index\" target=\"_blank\" rel=\"noreferrer noopener\">caso de soporte<\/a>&nbsp;.<\/p>\n\n\n\n<p>Adem\u00e1s, para brindar la ruta de actualizaci\u00f3n m\u00e1s fluida, pusieron a disposici\u00f3n correcciones para otras versiones de mantenimiento preferidas de TAC e implementadas com\u00fanmente.<\/p>\n\n\n\n<p>Versiones adicionales de PAN-OS 11.1&nbsp;con la correcci\u00f3n&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>11.1.2-h16&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>11.1.3-h13&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>11.1.4-h7&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>11.1.5&nbsp;&nbsp;(disponible)<\/li>\n<\/ul>\n\n\n\n<p>Versiones adicionales de PAN-OS 10.2&nbsp;con la correcci\u00f3n&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>10.2.8-h19&nbsp;&nbsp;(hora estimada de llegada: 31 de diciembre)<\/li>\n\n\n\n<li>10.2.9-h19&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>10.2.10-h12&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>10.2.11-h10&nbsp;&nbsp;(hora estimada de salida: 31 de diciembre)<\/li>\n\n\n\n<li>10.2.12-h4&nbsp;&nbsp;(fecha estimada de llegada: 31 de diciembre)<\/li>\n\n\n\n<li>10.2.13-h2&nbsp;&nbsp;(fecha estimada de llegada: 31 de diciembre)<\/li>\n\n\n\n<li>10.2.14&nbsp;&nbsp;(ETA: finales de enero)<\/li>\n<\/ul>\n\n\n\n<p>Versiones adicionales de PAN-OS 10.1&nbsp;con la correcci\u00f3n&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>10.1.14-h8&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>10.1.15&nbsp;&nbsp;(ETA: finales de enero)<\/li>\n<\/ul>\n\n\n\n<p>Versiones adicionales de PAN-OS&nbsp;con correcciones&nbsp;aplicables \u00fanicamente a Prisma Access:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>10.2.9-h19&nbsp;&nbsp;(disponible)<\/li>\n\n\n\n<li>10.2.10-h12&nbsp;&nbsp;(disponible)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/security.paloaltonetworks.com\/CVE-2024-3393\">https:\/\/security.paloaltonetworks.com\/CVE-2024-3393<\/a><\/li>\n\n\n\n<li>https:\/\/thehackernews.com\/2024\/12\/palo-alto-releases-patch-for-pan-os-dos.html<img decoding=\"async\" width=\"194\" height=\"86\" src=\"blob:https:\/79a86539-61c5-4cd1-9dea-5ecead23d85e\"><\/li>\n<\/ul>\n","protected":false},"featured_media":6198,"template":"","class_list":["post-10313","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":true,"pdf":10320,"numero_de_boletin":"73","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":3,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10313\/revisions"}],"predecessor-version":[{"id":10325,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10313\/revisions\/10325"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6198"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}