Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) varoittaa, että Palo Alto Networksin palomuurien vakavaa tietoturvahaavoittuvuutta hyödynnetään aktiivisesti luonnossa.
Virhe (CVE-2022-0028, CVSS:n vakavuusaste 8.6) on PAN-OS-käyttöjärjestelmässä, joka käyttää palomuureja, ja se voi antaa etäuhan toimijan väärinkäyttää palomuureja ottaakseen käyttöön hajautetun palveluneston. (DDoS) -hyökkäykset valitsemiaan kohteita vastaan ilman todennusta.
Ongelman hyödyntäminen voi auttaa hyökkääjiä peittämään jälkensä ja sijaintinsa.
"DoS-hyökkäys näyttäisi olevan peräisin Palo Alto Networksin PA-sarjan (laitteisto), VM-sarjan (virtuaali) ja CN-sarjan (kontti) palomuurista hyökkääjän määrittämää kohdetta vastaan", Palo Alto Networksin antaman neuvon mukaan. aikaisemmin tässä kuussa.
"Hyvä uutinen on, että tämä haavoittuvuus ei tarjoa hyökkääjille pääsyä uhrin sisäiseen verkkoon", sanoo Phil Neray, CardinalOpsin kyberpuolustusstrategian varapuheenjohtaja. "Huono uutinen on, että se voi pysäyttää liiketoimintakriittiset toiminnot [muissa kohteissa], kuten tilausten vastaanottamisen ja asiakaspalvelupyyntöjen käsittelyn."
Hän huomauttaa, että DDoS-hyökkäyksiä eivät tee vain pienet häiritsevät toimijat, kuten usein oletetaan: "APT28:n kaltaiset vastustajaryhmät ovat käyttäneet DDoS:a aiemmin Maailman antidopingtoimistoa vastaan."
Virhe johtuu URL-suodatuskäytännön virheellisestä määrityksestä.
Epätyypillistä kokoonpanoa käyttävät tapaukset ovat vaarassa; Jotta palomuurikokoonpanoa voidaan hyödyntää, "on oltava URL-suodatusprofiili, jossa on yksi tai useampi estetty luokka, joka on määritetty suojaussäännölle lähdevyöhykkeellä, jolla on ulkoinen verkkoliitäntä". neuvoa-antava luku.
Hyödynnetty luonnossa
Kaksi viikkoa paljastuksen jälkeen CISA sanoi, että se on nyt nähnyt virheen omaksuvan kybervastustajia luonnossa, ja se on lisännyt sen Known Exploited Vulnerabilities (KEV) -luettelo. Hyökkääjät voivat hyödyntää virhettä ottaakseen käyttöön sekä heijastuneita että vahvistettuja versioita DoS-tulvista.
Viakoon toimitusjohtaja Bud Broomhead sanoo, että bugeilla, jotka voidaan ottaa käyttöön DDoS-hyökkäysten tukemiseksi, on yhä enemmän kysyntää.
"Mahdollisuus käyttää Palo Alto Networksin palomuuria heijastuneiden ja vahvistettujen hyökkäysten suorittamiseen on osa yleistä suuntausta käyttää vahvistusta massiivisten DDoS-hyökkäysten luomiseen", hän sanoo. "Googlen äskettäinen ilmoitus hyökkäyksestä, joka oli huipussaan 46 miljoonaa pyyntöä sekunnissa, ja muut ennätysmäiset DDoS-hyökkäykset keskittyvät enemmän järjestelmiin, joita voidaan hyödyntää tämän tason vahvistamiseksi."
Aseistuksen nopeus sopii myös siihen trendiin, että kyberhyökkääjät vievät yhä vähemmän aikaa äskettäin paljastettujen haavoittuvuuksien käyttöönottamiseksi – mutta tämä osoittaa myös uhkatekijöiden lisääntyneen kiinnostuksen vähemmän vakavia vikoja kohtaan.
"Liian usein tutkijamme näkevät organisaatioiden korjaavan vakavimpia haavoittuvuuksia ensin CVSS:n perusteella", Skybox Securityn myyntitekniikan johtaja Terry Olaes kirjoitti sähköpostitse lähetetyssä lausunnossa. "Kyberrikolliset tietävät, miten monet yritykset käsittelevät kyberturvallisuuttaan, joten he ovat oppineet hyödyntämään haavoittuvuuksia, joita pidetään vähemmän kriittisinä hyökkäysten suorittamisessa."
Mutta korjaustiedoston priorisointi on edelleen haaste kaikenkokoisille ja -kokoisille organisaatioille, koska tietyssä kuukaudessa julkaistaan valtava määrä korjaustiedostoja – se on yhteensä satoja haavoittuvuuksia IT-tiimien on usein tutkittava ja arvioitava ilman paljon opastusta jatkaa. Ja lisäksi Skybox Research Lab äskettäin löydetty että uudet haavoittuvuudet, joita hyödynnettiin luonnossa, lisääntyivät 24 prosenttia vuonna 2022.
"Kaikki haavoittuvuudet, joista CISA varoittaa, jos sinulla on ympäristössäsi, sinun on korjattava nyt", Roger Grimes, KnowBe4:n tietoihin perustuva puolustusevankelista, kertoo Dark Readingille. "[KEV] luettelee kaikki haavoittuvuudet, joita mikä tahansa todellisen maailman hyökkääjä käytti hyökätäkseen mihin tahansa todellisen maailman kohteeseen. Loistava palvelu. Ja se ei ole vain täynnä Windows- tai Google Chrome -hyötytoimintoja. Luulen, että keskiverto tietoturvahenkilö olisi yllättynyt luettelon sisällöstä. Se on täynnä laitteita, laiteohjelmistokorjauksia, VPN:itä, DVR:itä ja paljon tavaraa, jota ei perinteisesti ole pidetty hakkereiden erityisen kohteena."
Aika korjata ja tarkkailla kompromisseja
Äskettäin hyväksikäytetylle PAN-OS-virheelle on saatavana korjaustiedostoja seuraavina versioina:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Ja kaikki uudemmat PAN-OS-versiot PA-sarjan, VM-sarjan ja CN-sarjan palomuureille.
Sen selvittämiseksi, onko vahinko jo tapahtunut, "organisaatioiden tulee varmistaa, että niillä on käytössään ratkaisuja, jotka pystyvät mittaamaan kyberriskien liiketoiminnalliset vaikutukset taloudellisiksi vaikutuksiksi", Olaes kirjoitti.
Hän lisäsi: "Tämä auttaa heitä myös tunnistamaan ja priorisoimaan kriittisimmät uhat taloudellisen vaikutuksen koon perusteella muiden riskianalyysien, kuten altistumisperusteisten riskipisteiden, joukossa. Heidän on myös parannettava haavoittuvuuksien hallintaohjelmiensa kypsyyttä varmistaakseen, että he voivat nopeasti selvittää, vaikuttaako haavoittuvuus heihin ja kuinka kiireellistä se on korjata."
Grimes huomauttaa, että on hyvä idea tilata myös CISA:n KEV-sähköpostit.
"Jos tilaat, saat vähintään viikossa, ellei enemmänkin, sähköpostin, jossa kerrotaan, mitä uusimmat hyödynnetyt haavoittuvuudet ovat", hän sanoo. ”Se ei ole vain Palo Alto Networksin ongelma. Ei millään mielikuvituksella."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
