2023] Denegación de servicio en PAN-OS de Paloalto

Fecha de publicación 14/09/2023

Importancia

4 - Alta

Recursos Afectados

Las siguientes versiones de PAN-OS están afectadas:

versiones inferiores a 11.0.3;
versiones inferiores a 10.2.6;
versiones inferiores a 10.1.11;
versiones inferiores o iguales a 9.1.16.

[Actualización 18/09/2023] Prisma SD-WAN ION, versiones anteriores a 6.2.3 y 6.1.5.

Descripción

Ben Cartwright-Cox ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante remoto causar una denegación de servicio (DoS) en los productos afectados.

Solución

La vulnerabilidad va a ser resuelta en las siguientes versiones:

hotfix para la versión 9.1.16 (fecha aproximada de lanzamiento: primera semana de octubre);
versión 10.1.11 (fecha aproximada de lanzamiento: última semana de septiembre);
versión 10.2.6 (fecha aproximada de lanzamiento: última semana de septiembre);
versión 11.0.3 (fecha aproximada de lanzamiento: tercera semana de octubre).

Detalle

El software BGP, incluido en el producto FRRouting FRR como parte de la función de enrutamiento virtual de PAN-OS, permite a un atacante remoto restablecer incorrectamente sesiones de red a través de una actualización BGP no válida. Este problema solo es aplicable a cortafuegos configurados con enrutadores virtuales que tengan BGP habilitado.

Este problema requiere que el atacante remoto controle al menos una sesión BGP establecida que se propague al enrutador virtual PAN-OS para explotarlo. El impacto de denegación de servicio (DoS) en la red depende de la arquitectura de la red y del diseño tolerante a fallos.

Se ha asignado el identificador CVE-2023-38802 para esta vulnerabilidad.

Listado de referencias

[Actualización 18/09/2023] CVE-2023-38802 PAN-OS: Denial-of-Service (DoS) Vulnerability in BGP Software

Vulnerability Note VU#347067 - Multiple BGP implementations are vulnerable to improperly formatted BGP updates

Etiquetas