L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) avertit qu'une vulnérabilité de sécurité de haute gravité dans les pare-feu de Palo Alto Networks est activement exploitée dans la nature.
Le bogue (CVE-2022-0028, avec un score de gravité CVSS de 8.6), existe dans le système d'exploitation PAN-OS qui exécute les pare-feu et pourrait permettre à un acteur malveillant distant d'abuser des pare-feu pour déployer un déni de service distribué. (DDoS) contre les cibles de leur choix, sans avoir à s'authentifier.
L'exploitation du problème peut aider les attaquants à couvrir leurs traces et leur emplacement.
"L'attaque DoS semble provenir d'un pare-feu Palo Alto Networks PA-Series (matériel), VM-Series (virtuel) et CN-Series (conteneur) contre une cible spécifiée par l'attaquant", selon l'avis de Palo Alto Networks publié plus tôt ce mois-ci.
« La bonne nouvelle est que cette vulnérabilité ne permet pas aux attaquants d'accéder au réseau interne de la victime », déclare Phil Neray, vice-président de la stratégie de cyberdéfense chez CardinalOps. "La mauvaise nouvelle est qu'il peut interrompre les opérations critiques pour l'entreprise [sur d'autres cibles] telles que la prise de commandes et le traitement des demandes de service client."
Il note que les attaques DDoS ne sont pas seulement montées par de petits acteurs nuisibles, comme on le suppose souvent : « DDoS a été utilisé dans le passé par des groupes adversaires comme APT28 contre l'Agence mondiale antidopage.
Le bogue survient grâce à une mauvaise configuration de la politique de filtrage d'URL.
Les instances qui utilisent une configuration non standard sont à risque ; pour être exploitée, la configuration du pare-feu "doit avoir un profil de filtrage d'URL avec une ou plusieurs catégories bloquées affectées à une règle de sécurité avec une zone source qui a une interface réseau externe", le lecture consultative.
Exploité à l'état sauvage
Deux semaines après cette divulgation, la CISA a déclaré qu'elle avait maintenant vu le bogue être adopté par des cyber-adversaires dans la nature, et l'a ajouté à son Catalogue des vulnérabilités exploitées connues (KEV). Les attaquants peuvent exploiter la faille pour déployer à la fois des versions réfléchies et amplifiées des inondations DoS.
Bud Broomhead, PDG de Viakoo, affirme que les bogues pouvant être mis en service pour prendre en charge les attaques DDoS sont de plus en plus demandés.
"La possibilité d'utiliser un pare-feu Palo Alto Networks pour effectuer des attaques réfléchies et amplifiées fait partie d'une tendance générale à utiliser l'amplification pour créer des attaques DDoS massives", a-t-il déclaré. "L'annonce récente par Google d'une attaque qui a culminé à 46 millions de requêtes par seconde, et d'autres attaques DDoS record mettront davantage l'accent sur les systèmes qui peuvent être exploités pour permettre ce niveau d'amplification."
La rapidité de la militarisation correspond également à la tendance des cyberattaquants à prendre de moins en moins de temps pour mettre en œuvre les vulnérabilités nouvellement révélées, mais cela indique également un intérêt accru pour les bogues de moindre gravité de la part des acteurs de la menace.
"Trop souvent, nos chercheurs voient les organisations s'efforcer de corriger les vulnérabilités les plus graves en se basant d'abord sur le CVSS", a écrit Terry Olaes, directeur de l'ingénierie des ventes chez Skybox Security, dans un communiqué envoyé par e-mail. "Les cybercriminels savent que c'est ainsi que de nombreuses entreprises gèrent leur cybersécurité, ils ont donc appris à tirer parti des vulnérabilités considérées comme moins critiques pour mener à bien leurs attaques."
Mais priorisation des correctifs continue d'être un défi pour les organisations de tous horizons et de toutes tailles grâce au grand nombre de correctifs divulgués au cours d'un mois donné - il totalise des centaines de vulnérabilités que les équipes informatiques doivent trier et évaluer, souvent sans beaucoup de conseils pour continuer. Et en plus Skybox Research Lab récemment trouvé que les nouvelles vulnérabilités qui ont ensuite été exploitées à l'état sauvage ont augmenté de 24 % en 2022.
"Toute vulnérabilité dont CISA vous avertit, si vous en avez dans votre environnement, vous devez la corriger maintenant", a déclaré Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, à Dark Reading. "Le [KEV] répertorie toutes les vulnérabilités qui ont été utilisées par tout attaquant du monde réel pour attaquer n'importe quelle cible du monde réel. Très bon service. Et ce n'est pas seulement plein d'exploits Windows ou Google Chrome. Je pense que la personne moyenne chargée de la sécurité informatique serait surprise de ce qu'il y a sur la liste. Il regorge d'appareils, de correctifs de micrologiciels, de VPN, de DVR et d'une tonne de choses qui ne sont traditionnellement pas considérées comme très ciblées par les pirates.
Il est temps de corriger et de surveiller les compromis
Pour le bogue PAN-OS nouvellement exploité, des correctifs sont disponibles dans les versions suivantes :
- PAN OS 8.1.23-h1
- PAN OS 9.0.16-h3
- PAN OS 9.1.14-h4
- PAN OS 10.0.11-h1
- PAN OS 10.1.6-h6
- PAN OS 10.2.2-h2
- Et toutes les versions ultérieures de PAN-OS pour les pare-feux PA-Series, VM-Series et CN-Series.
Pour déterminer si le mal est déjà fait, "les organisations doivent s'assurer qu'elles ont mis en place des solutions capables de quantifier l'impact commercial des cyber-risques en impact économique", a écrit Olaes.
Il a ajouté : « Cela les aidera également à identifier et à hiérarchiser les menaces les plus critiques en fonction de l'ampleur de l'impact financier, entre autres analyses de risque telles que les scores de risque basés sur l'exposition. Ils doivent également améliorer la maturité de leurs programmes de gestion des vulnérabilités pour s'assurer qu'ils peuvent découvrir rapidement si une vulnérabilité les affecte ou non et à quel point il est urgent d'y remédier.
Grimes note que c'est une bonne idée de s'abonner également aux e-mails KEV de CISA.
"Si vous vous abonnez, vous recevrez au moins un e-mail par semaine, sinon plus, indiquant quelles sont les dernières vulnérabilités exploitées", dit-il. « Ce n'est pas seulement un problème de Palo Alto Networks. Pas par un effort d'imagination.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
