Palo Alto Networks警告 ，利用S漏称黑客正在利用CVE - 2024 - 3393拒绝服务漏洞
，瘫痪通过强制重启防火墙的防火方式
，使其保护功能丧失。利用S漏反复利用这一安全漏洞会让设备进入维护模式
，瘫痪必须手动干预才能恢复正常运行状态。防火

公告指出：“Palo Alto Networks PAN - OS软件中的利用S漏DNS安全功能存在一个拒绝服务漏洞，未经身份验证的瘫痪攻击者能够经由防火墙的模板下载数据平面发送恶意数据包
，从而造成防火墙重启 。防火”

Palo Alto Networks表示，利用S漏未经身份验证的瘫痪攻击者可以向受影响的设备发送特制的恶意数据包来利用此漏洞。这一问题仅出现在启用了“DNS安全”日志记录的防火设备上 ，受CVE - 2024 - 3393影响的源码下载利用S漏产品版本如下：

厂商确认该漏洞正在被积极利用 ，并且指出客户在防火墙阻止攻击者利用该漏洞发送的瘫痪恶意DNS数据包时，出现了服务中断的防火情况 。该公司已经在PAN - OS 10.1.14 - h8
、PAN - OS 10.2.10 - h12
、PAN - OS 11.1.5、PAN - OS 11.2.3以及后续版本中修复了这个漏洞。

不过需要注意的高防服务器是，受CVE - 2024 - 3393影响的PAN - OS 11.0版本不会收到补丁 ，因为该版本已于11月17日到达其生命周期终止（EOL）日期 。对于无法立即更新的用户 ，Palo Alto Networks还发布了缓解问题的临时措施和步骤：

对于未管理的下一代防火墙（NGFW）
、建站模板由Panorama管理的NGFW或者由Panorama管理的Prisma Access ：

对于由Strata Cloud Manager（SCM）管理的免费模板NGFW
：

对于由Strata Cloud Manager（SCM）管理的Prisma Access ：

参考来源：https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/