【安全漏洞警示】針對Palo Alto Networks存在高風險安全漏洞(CVE-2024-3393) 中華電信HiNet資安說明與建議
- #資安
- #防護
- #漏洞
- #CVE
- #Palo Alto Networks
- 動態訊息
- 【安全漏洞警示】針對Palo Alto Networks存在高風險安全漏洞(CVE-2024-3393) 中華電信HiNet資安說明與建議
【安全漏洞警示】針對Palo Alto Networks存在高風險安全漏洞(CVE-2024-3393) 中華電信HiNet資安說明與建議
◆ 資安預警通報
Palo Alto Networks PAN-OS 軟體的 DNS 安全功能中存在拒絕服務弱點,未經身份驗證的攻擊者可以透過防火牆的資料發送惡意封包,從而重新啟動防火牆。重複嘗試觸發此條件將導致防火牆進入維護模式。
▲資料來源:Palo Alto Networks 官網 https://security.paloaltonetworks.com/CVE-2024-3393
▲資料來源:全國預警情報網 https://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2024-0144
◆ 影響範圍
本次針對資安艦隊型號PA-440/PA-450/PA-460 Core Security Bundle,只有在同時滿足以下兩個條件的情況時,PAN-OS 軟體才有可能受到影響:
- 已申請 DNS 安全許可證或高級 DNS 安全許可證。
- 已啟用 DNS 安全性日誌記錄功能。
▲資料來源:Palo Alto Networks 官網 https://security.paloaltonetworks.com/CVE-2024-3393
◆ 建議解決方案
一、更新到以下建議版本:
(1) Palo Alto Networks PAN-OS 11.2.3 (含)之後版本
(2) Palo Alto Networks PAN-OS 11.1.5 (含)之後版本
(3) Palo Alto Networks PAN-OS 10.2.14 (含)之後版本
(4) Palo Alto Networks PAN-OS 10.1.15 (含)之後版本
*PAN-OS 11.0版本已於 2024 年 11 月 17 日停止支援(EOL),無法進行修補
▲資料來源:Palo Alto Networks 官網 https://security.paloaltonetworks.com/CVE-2024-3393
二、若原廠尚未推出修補版本,建議採取以下措施:
- 手動關閉 DNS Security 的日誌記錄功能。
- 將所有 DNS Security 分類的 Log Severity 設定為「none」。
待原廠釋出修補版本後,務必儘快進行升級,並將相關設定恢復至正常狀態,以確保系統運作與安全性。
▲資料來源:Palo Alto Networks 官網 https://security.paloaltonetworks.com/CVE-2024-3393
企業資安網站:https://secure365.hinet.net
諮詢電話:0800-080-123