Vulnérabilité dans des produits Palo Alto

Risques

• Déni de service

Criticité

• Score CVSS v3.1: 8.6

La faille est activement exploitée

• Oui

Un correctif existe

• Non, pas pour toutes les versions de PAN-OS

Une mesure de contournement existe

• Oui

Les vulnérabilités exploitées sont du type

CWE-406: Insufficient Control of Network Message Volume (Network Amplification)

Détails sur l’exploitation

• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

• PAN-OS 10.2 versions inférieures à 10.2.2-h2
• PAN-OS 10.1 versions inférieures à 10.1.6-h6
• PAN-OS 10.0 versions inférieures à 10.0.11-h1
• PAN-OS 9.1 versions inférieures à 9.1.14-h4
• PAN-OS 9.0 versions inférieures à 9.0.16-h3
• PAN-OS 8.1 versions inférieures à 8.1.23-h1

• Seule PAN-OS 10.1 possède un correctif à ce jour. Il est donc recommandé de mettre à jour PAN-OS 10.1 vers la version 10.1.6-h6

• Les autres produits ont un correctif de prévu pour le 15 Aout mais, en attendant, Palo Alto propose des méthodes de contournement (voir ici pour plus d’informations)

• Palo Alto propose de mettre en place leur protection contre les attaques par paquets forgés (voir ici pour la mise en place)

• Palo Alto propose aussi de mettre en place leur protection contre les attaques de type "Flood" (voir ici pour la mise en place)