DenegaciĆ³n de servicio en PAN-OS de Paloalto

DenegaciĆ³n de servicio en PAN-OS de Paloalto
Jue, 14/09/2023 – 09:52

Recursos Afectados

Las siguientes versiones de PAN-OS estƔn afectadas:

  • versiones inferiores a 11.0.3;
  • versiones inferiores a 10.2.6;
  • versiones inferiores a 10.1.11;
  • versiones inferiores o iguales a 9.1.16.
DescripciĆ³n

Ben Cartwright-Cox ha reportado una vulnerabilidad de severidad alta, cuya explotaciĆ³n podrĆ­a permitir a un atacante remoto causar una denegaciĆ³n de servicio (DoS) en los productos afectados.

4 – Alta
SoluciĆ³n

La vulnerabilidad va a ser resuelta en las siguientes versiones:

  • hotfix para la versiĆ³n 9.1.16 (fecha aproximada de lanzamiento: primera semana de octubre);
  • versiĆ³n 10.1.11 (fecha aproximada de lanzamiento: Ćŗltima semana de septiembre);
  • versiĆ³n 10.2.6 (fecha aproximada de lanzamiento: Ćŗltima semana de septiembre);
  • versiĆ³n 11.0.3 (fecha aproximada de lanzamiento: tercera semana de octubre).
Detalle

El software BGP, incluido en el producto FRRouting FRR como parte de la funciĆ³n de enrutamiento virtual de PAN-OS, permite a un atacante remoto restablecer incorrectamente sesiones de red a travĆ©s de una actualizaciĆ³n BGP no vĆ”lida. Este problema solo es aplicable a cortafuegos configurados con enrutadores virtuales que tengan BGP habilitado.

Este problema requiere que el atacante remoto controle al menos una sesiĆ³n BGP establecida que se propague al enrutador virtual PAN-OS para explotarlo. El impacto de denegaciĆ³n de servicio (DoS) en la red depende de la arquitectura de la red y del diseƱo tolerante a fallos.

Se ha asignado el identificador CVE-2023-38802 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.