USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) hoiatab, et Palo Alto Networksi tulemüüride tõsist turvaauku kasutatakse looduses aktiivselt ära.
Viga (CVE-2022-0028, CVSS-i raskusastmega 8.6) esineb tulemüüre käitavas PAN-OS-i operatsioonisüsteemis ja see võib võimaldada kaugohus tegutsejal tulemüüre kuritarvitada hajutatud teenusekeelu juurutamiseks. (DDoS) rünnakud enda valitud sihtmärkide vastu – ilma autentimiseta.
Probleemi ärakasutamine võib aidata ründajatel oma jälgi ja asukohta varjata.
Palo Alto Networksi väljaantud nõuande kohaselt näib, et DoS-rünnak pärineb Palo Alto Networksi PA-seeria (riistvara), VM-seeria (virtuaalne) ja CN-seeria (konteiner) tulemüürilt ründaja määratud sihtmärgi vastu. selle kuu alguses.
"Hea uudis on see, et see haavatavus ei anna ründajatele juurdepääsu ohvri sisevõrgule," ütleb CardinalOpsi küberkaitsestrateegia asepresident Phil Neray. "Halb uudis on see, et see võib peatada ärikriitilised toimingud [teistel eesmärkidel], nagu tellimuste vastuvõtmine ja klienditeeninduse taotluste käsitlemine."
Ta märgib, et DDoS-i rünnakuid ei korralda ainult väikesed häirivad osalejad, nagu sageli eeldatakse: "DDoS-i on minevikus kasutanud vastase rühmad nagu APT28 Maailma Antidopingu Agentuuri vastu."
Viga ilmneb tänu URL-i filtreerimise poliitika valele seadistusele.
Mittestandardset konfiguratsiooni kasutavad eksemplarid on ohus; kasutamiseks peab tulemüüri konfiguratsioonil olema URL-i filtreerimisprofiil ühe või mitme blokeeritud kategooriaga, mis on määratud turvareeglile, mille lähtetsoonil on väline võrguliides. nõuandev lugemine.
Looduses ära kasutatud
Kaks nädalat pärast avalikustamist teatas CISA, et on nüüdseks näinud, et kübervastased on vea omaks võtnud ja lisanud selle oma Teadaolevate ärakasutatud haavatavuste (KEV) kataloog. Ründajad saavad seda viga ära kasutada, et juurutada nii DoS-üleujutuste peegeldatud kui ka võimendatud versioone.
Viakoo tegevjuht Bud Broomhead ütleb, et vead, mida saab DDoS-i rünnakute toetamiseks kasutusele võtta, on üha nõudlikumad.
"Võimalus kasutada Palo Alto Networksi tulemüüri peegeldatud ja võimendatud rünnakute sooritamiseks on osa üldisest suundumusest kasutada võimendust massiliste DDoS-rünnakute loomiseks," ütleb ta. "Google'i hiljutine teade rünnakust, mis saavutas haripunkti 46 miljonit päringut sekundis, ja muud rekordilised DDoS-i rünnakud keskenduvad rohkem süsteemidele, mida saab sellise võimenduse võimaldamiseks ära kasutada."
Relvastamise kiirus sobib ka suundumusega, mille kohaselt küberründajatel kulub äsja avalikustatud turvaaukude tööle panemiseks üha vähem aega, kuid see viitab ka ohus osalejate suurenenud huvile väiksema tõsidusega vigade vastu.
"Liiga sageli näevad meie teadlased, et organisatsioonid hakkavad esmalt CVSS-i põhjal parandama kõige tõsisemaid haavatavusi," kirjutas Skybox Security müügiinseneri direktor Terry Olaes meilisõnumis. "Küberkurjategijad teavad, kuidas paljud ettevõtted oma küberjulgeolekuga tegelevad, nii et nad on õppinud ära kasutama rünnakute läbiviimiseks vähem kriitiliseks peetavaid haavatavusi."
Kuid plaastri prioritiseerimine on jätkuvalt väljakutse igasuguste triipude ja suurustega organisatsioonidele tänu tohutule arvule plaastritele, mis ühel kuul avalikustatakse – see on kokku sadu turvaauke IT-meeskonnad peavad sageli läbi viima ja hindama ilma eriliste juhisteta. Ja lisaks Skybox Research Lab hiljuti leitud et uued haavatavused, mida looduses ära kasutati, kasvasid 24. aastal 2022%.
"Iga haavatavus, mille eest CISA teid hoiatab, kui teil on teie keskkonnas, peate kohe parandama," ütleb KnowBe4 andmepõhine kaitseevangelist Roger Grimes Dark Readingile. „[KEV] loetleb kõik haavatavused, mida reaalse maailma ründajad kasutasid mis tahes reaalse maailma sihtmärgi ründamiseks. Suurepärane teenindus. Ja see pole täis ainult Windowsi või Google Chrome'i ärakasutusi. Arvan, et keskmine arvutiturbe inimene oleks nimekirjas sisalduva üle üllatunud. See on täis seadmeid, püsivara plaastreid, VPN-e, DVR-e ja palju asju, mida traditsiooniliselt häkkerite sihtmärgiks ei peeta.
Aeg parandada ja jälgida kompromissi
Äsja kasutatud PAN-OS-i vea jaoks on paigad saadaval järgmistes versioonides:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Ja kõik hilisemad PAN-OS-i versioonid PA-seeria, VM-seeria ja CN-seeria tulemüüride jaoks.
Et teha kindlaks, kas kahju on juba tekitatud, peaksid organisatsioonid tagama, et neil on olemas lahendused, mis suudavad kvantifitseerida küberriskide ärimõju majanduslikuks mõjuks,“ kirjutas Olaes.
Ta lisas: "See aitab neil ka finantsmõju suuruse alusel tuvastada ja tähtsuse järjekorda seada kõige kriitilisemad ohud, sealhulgas muude riskianalüüside, näiteks kokkupuutepõhiste riskiskooride hulgas. Samuti peavad nad suurendama oma haavatavuse haldamise programmide küpsust, et nad saaksid kiiresti teada, kas haavatavus mõjutab neid või mitte ja kui kiireloomuline on selle kõrvaldamine.
Grimes märgib, et hea mõte on tellida ka CISA KEV-e-kirju.
"Kui tellite, saate nädalas vähemalt e-kirja, kui mitte rohkem, mis teatab, millised on viimased ära kasutatud haavatavused," ütleb ta. "See pole ainult Palo Alto Networksi probleem. Mitte mingisuguse kujutlusvõimega.”
