Palo Alto Security Bulletin PAN-OS Root and Default Certificate Expiration

El equipo de respuesta a incidentes de seguridad de productos de Palo Alto emitió avisos sobre las siguientes actualizaciones.

• Se requiere actualización de emergencia: caducidad del certificado raíz y predeterminado de PAN-OS

Versiones Afectadas

Productos afectados:
 Esta actualización le afecta si utiliza un Firewall o Panorama de Palo Alto Networks para cualquiera de los siguientes servicios:

1. Scenario 1
   • Data redistribution (User-ID, IP-tag, User-tag, GlobalProtect HIP, and/or quarantine list)
   • URL PAN-DB private cloud (M-Series)
   • WildFire private cloud appliance (WF500/B)
2. Scenario 2
   • WildFire/Advanced WildFire Public Cloud
   • URL/Advanced URL Filtering
   • DNS Security
   • ThreatVault
   • AutoFocus

Recomendaciones

 Solucion
• El 31 de diciembre de 2023, el certificado raíz y el certificado predeterminado para PAN-OS vencerán. Si no se renuevan, los firewalls y Panorama perderán la conectividad con los servicios en la nube de Palo Alto Networks y afectarán el tráfico de la red, lo que podría provocar una interrupción de los servicios afectados

Versiones de actualización de destino

La siguiente tabla contiene las versiones de actualización de destino para el escenario 1a y el escenario 2b.



Escenarios:
Si es un cliente con redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y/o lista de cuarentena), nube privada URL PAN-DB (Serie M) o dispositivo de nube privada WildFire (WF500 /B), deberá realizar una de las dos acciones siguientes: (1a) actualizar los firewalls afectados, WF-500, M-Series y Panorama (modos de administración y recopilación de registros), O (1b) implementar certificados personalizados en sus firewalls afectados, WF-500 y Panorama (modos de administración y recopilador de registros).

Actualice sus firewalls afectados, WF-500, M-Series y Panorama.

Si no tiene certificados personalizados instalados, debe actualizar todos sus firewalls, WF-500, M-Series y Panoramas (modos de administración y recopilación de registros) que participan en la redistribución de datos (ID de usuario, etiqueta IP, etiqueta, GlobalProtect HIP y/o lista de cuarentena), URL de nube privada PAN-DB (Serie M) y/o nube privada WildFire (WF500/B) a una de las versiones de PAN-OS en la tabla de versión de actualización de destino mencionada arriba.

Si es un cliente con redistribución de datos (ID de usuario, etiqueta IP, etiqueta de usuario, GlobalProtect HIP y/o lista de cuarentena), nube privada URL PAN-DB (Serie M) o dispositivo de nube privada WildFire (WF500 /B ), deberá realizar una de las dos acciones siguientes: (1a) actualizar los firewalls afectados, WF-500, M-Series y Panorama (modos de administración y recopilación de registros), o (1b) implementar certificados personalizados en sus firewalls afectados, WF-500 y Panorama (modos de administración y recopilador de registros).

Actualice sus firewalls afectados, WF-500, M-Series y Panorama.

Si no tiene certificados personalizados instalados, debe actualizar todos sus firewalls, WF-500, M-Series y Panoramas (modos de administración y recopilación de registros) que participan en la redistribución de datos (ID de usuario, etiqueta IP, etiqueta, GlobalProtect HIP). y/o lista de cuarentena), URL de nube privada PAN-DB (Serie M) y/o nube privada WildFire (WF500/B) a una de las versiones de PAN-OS en la tabla de versión de actualización de destino mencionada arriba.

Escenario 2

Si es cliente de Wildfire Public Cloud, Advanced WildFire Public Cloud, filtrado de URL, filtrado de URL avanzado, seguridad DNS, ThreatVault o AutoFocus, deberá realizar una de las siguientes tres acciones: (2a) instalar una actualización de contenido específica en sus firewalls afectados y Panorama, O (2b) actualice sus firewalls y Panorama afectados, O (2c) habilite el certificado de dispositivo en sus firewalls y Panoramas afectados.

• Instale una actualización de contenido específica en sus firewalls y Panorama afectados.

Debe instalar la siguiente versión de actualización de contenido (8776-8390 o posterior) en sus firewalls y Panorama.
Si tienes configurado el contenido automático, esta actualización será automática.

• Si actualiza manualmente su contenido, actualice su contenido a la versión de contenido anterior.

Actualice sus firewalls afectados y Panorama.

• Actualice su firewall y Panorama a una de las versiones PAN-OS en las versiones de actualización de destino mencionadas anteriormente.

Habilite el certificado de dispositivo en sus firewalls afectados y Panorama.
Si tiene firewalls y Panorama que ejecutan las versiones PAN-OS 8.1, 9.0 o 9.1, no se recomienda este método.

• Si tiene firewalls y Panorama que ejecutan PAN-OS 10.0.5, 10.1.10, 10.2.5 y 11.0.2 o superior, siga las instrucciones en la página de documentación para habilitar el Certificado de dispositivo

Mitigación temporal:
No hay mitigación temporal disponible para este boletín de seguridad.

Referencias

• PAN-OS Root and Default Certificate Expiration on December 31, ... - Knowledge Base - Palo Alto Networks
• LIVEcommunity - Emergency Update Required - PAN-OS Root and Default Certificate Expiration - LIVEcommunity - 564672 (paloaltonetworks.com)
   

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios