Alerta de seguridad
Nivel de peligrosidad: Medio
Descripción
Se ha identificado una vulnerabilidad crítica de Denegación de Servicio (DoS) que afecta el componente de Seguridad DNS Avanzada (ADNS) en el software PAN-OS. Un atacante remoto, sin necesidad de autenticación, puede enviar paquetes DNS específicamente malformados que provocan el colapso y reinicio de los procesos críticos del sistema.
Recursos afectados
-
PAN-OS 12.1: Todas las versiones iguales o inferiores a 12.1.4.
-
PAN-OS 11.2: Todas las versiones iguales o inferiores a 11.2.10.
Productos no afectados:
-
PAN-OS 11.1
-
PAN-OS 10.2
-
Prisma Access
-
Cloud NGFW (Nube nativa)
Nota: No se ha identificado afectación en versiones anteriores a la rama 11.2 ni en plataformas SaaS administradas por el fabricante.
Solución/Mitigación
Actualmente, no existen medidas de mitigación o soluciones alternativas (workarounds) que permitan contrarrestar esta vulnerabilidad sin afectar la funcionalidad del servicio ADNS. La única solución definitiva es la actualización inmediata a las versiones de software corregidas.
Indicadores de compromiso
Dado que es un DoS de paquetes, los IoCs se centran en el comportamiento del sistema:
-
Presencia de reinicios inesperados del proceso devsrvr o mgmtsrvr.
-
Entrada persistente en "Maintenance Mode" tras reinicios sucesivos.
-
Incremento de paquetes DNS malformados dirigidos a las interfaces que tienen habilitado el perfil de Advanced DNS Security.
Recomendaciones
-
Actualizar de manera prioritaria los dispositivos afectados a versiones corregidas.
-
Identificar qué firewalls tienen habilitado el perfil Advanced DNS Security.
-
Priorizar actualización en dispositivos: Expuestos a Internet, Ubicados en DMZ, Que procesen alto volumen de tráfico DNS externo.
-
Configurar alertas SNMP o Syslog para detectar: Reinicio de procesos, eventos críticos del sistema, cambios inesperados de estado en HA.
-
Implementar monitoreo de anomalías en tráfico DNS (volumen, formato, frecuencia).