Palo Alto PAN-OS漏洞允许攻击者通过恶意数据包重启防火墙

Palo Alto Networks PAN-OS 软件中发现了一个严重的拒绝服务漏洞，未经身份验证的攻击者可以通过数据平面构造专门设计的数据包，从而远程重启防火墙。

安全研究人员发现，反复重启尝试可能会迫使受影响的防火墙进入维护模式，从而有效地禁用网络保护功能，使组织容易受到二次攻击。

该漏洞会影响多个 PAN-OS 版本上的 PA 系列防火墙、VM 系列防火墙和 Prisma Access 部署，但云 NGFW 安装不受影响。

Palo Alto Networks 确认，此问题仅在配置了 URL 代理或任何解密策略的防火墙上才会出现。

然而，显式解密、显式禁止解密或禁止匹配策略的存在也可能触发该缺陷。

值得注意的是，该公司目前尚未报告任何在野外进行积极捕猎的证据。

Palo Alto Networks 给出的 CVSS 基本评分为 8.7，行为评分为 6.6，将其归类为中等严重程度，中等紧急程度。

该漏洞源于对异常或特殊情况的检查不当（CWE-754），以及 CAPEC-129 中概述的指针操作技术。

这种基于网络的攻击不需要身份验证或用户交互，因此威胁行为者可以相对容易地利用它来破坏关键基础设施。

受影响最严重的版本包括 PAN-OS 10.2（10.2.13 及之前的所有版本）和 PAN-OS 11.1（11.1.6 及之前的所有版本）。运行 11.2.5 之前版本的 PAN-OS 11.2 部署也存在类似漏洞，而 PAN-OS 12.1 和 PAN-OS 10.1 则无需修复。

Prisma Access 客户目前需要针对其底层 PAN-OS 版本进行特定补丁，Palo Alto Networks 为大多数 Prisma Access 实例完成了升级，但那些面临维护窗口冲突的实例除外。

关于修复措施，Palo Alto Networks 为每个受影响的版本分支提供了特定的补丁版本。

PAN-OS 10.2 用户应升级到 10.2.14 版本或应用 10.2.13-h3 或更高版本的热修复程序。PAN-OS 11.1 用户应升级到 11.1.7 版本或应用相应的热修复程序，例如 11.1.6-h1 或 11.1.4-h13。

PAN-OS 11.2 管理员必须升级到 11.2.5 或应用相应的热补丁。遗憾的是，目前对于无法立即打补丁的组织，尚无其他替代方案，因此及时修复对于维护其安全态势至关重要。

漏洞严重性和影响概述

运行受影响的 PAN-OS 版本的组织应优先在下一个维护窗口期间进行升级，以恢复完整的防火墙弹性并防止潜在的拒绝服务攻击。