Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) memperingatkan bahwa kerentanan keamanan tingkat tinggi di firewall Palo Alto Networks sedang dieksploitasi secara aktif di alam liar.
Bug (CVE-2022-0028, dengan skor keparahan CVSS 8.6), ada di sistem operasi PAN-OS yang menjalankan firewall, dan dapat memungkinkan aktor ancaman jarak jauh menyalahgunakan firewall untuk menyebarkan penolakan layanan terdistribusi (DDoS) menyerang target pilihan mereka โ tanpa harus mengautentikasi.
Eksploitasi masalah dapat membantu penyerang untuk menutupi jejak dan lokasi mereka.
โSerangan DoS tampaknya berasal dari Palo Alto Networks PA-Series (hardware), VM-Series (virtual) dan CN-Series (container) firewall terhadap target yang ditentukan penyerang,โ menurut penasehat Palo Alto Networks yang dikeluarkan. awal bulan ini.
โKabar baiknya adalah bahwa kerentanan ini tidak memberikan penyerang akses ke jaringan internal korban,โ kata Phil Neray, wakil presiden strategi pertahanan dunia maya di CardinalOps. โKabar buruknya adalah hal itu dapat menghentikan operasi penting bisnis [di target lain] seperti menerima pesanan dan menangani permintaan layanan pelanggan.โ
Dia mencatat bahwa serangan DDoS tidak hanya dipasang oleh pelaku gangguan kecil, seperti yang sering diasumsikan: โDDoS telah digunakan di masa lalu oleh kelompok musuh seperti APT28 melawan Badan Anti-Doping Dunia.โ
Bug muncul karena kesalahan konfigurasi kebijakan pemfilteran URL.
Instance yang menggunakan konfigurasi non-standar berisiko; untuk dieksploitasi, konfigurasi firewall "harus memiliki profil pemfilteran URL dengan satu atau lebih kategori yang diblokir yang ditetapkan ke aturan keamanan dengan zona sumber yang memiliki antarmuka jaringan yang menghadap eksternal," membaca nasihat.
Dieksploitasi di Alam Liar
Dua minggu sejak pengungkapan itu, CISA mengatakan bahwa sekarang telah melihat bug yang diadopsi oleh musuh dunia maya di alam liar, dan menambahkannya ke Katalog Kerentanan Tereksploitasi (KEV) yang Diketahui. Penyerang dapat mengeksploitasi kelemahan untuk menyebarkan versi banjir DoS yang direfleksikan dan diperkuat.
Bud Broomhead, CEO di Viakoo, mengatakan bug yang dapat dirangkai menjadi layanan untuk mendukung serangan DDoS semakin banyak diminati.
โKemampuan untuk menggunakan firewall Palo Alto Networks untuk melakukan serangan yang dipantulkan dan diperkuat adalah bagian dari tren keseluruhan untuk menggunakan amplifikasi untuk membuat serangan DDoS besar-besaran,โ katanya. โPengumuman Google baru-baru ini tentang serangan yang mencapai 46 juta permintaan per detik, dan serangan DDoS pemecah rekor lainnya akan lebih fokus pada sistem yang dapat dieksploitasi untuk mengaktifkan tingkat amplifikasi tersebut.โ
Kecepatan persenjataan juga sesuai dengan tren penyerang siber yang membutuhkan waktu semakin sedikit untuk menerapkan kerentanan yang baru diungkapkan โ tetapi ini juga menunjukkan peningkatan minat pada bug dengan tingkat keparahan yang lebih rendah di pihak pelaku ancaman.
โTerlalu sering, peneliti kami melihat organisasi bergerak untuk menambal kerentanan dengan tingkat keparahan tertinggi terlebih dahulu berdasarkan CVSS,โ Terry Olaes, direktur teknik penjualan di Skybox Security, menulis dalam sebuah pernyataan melalui email. โPenjahat dunia maya tahu ini adalah berapa banyak perusahaan yang menangani keamanan siber mereka, jadi mereka telah belajar untuk memanfaatkan kerentanan yang dianggap kurang penting untuk melakukan serangan mereka.โ
Tapi prioritas tambalan terus menjadi tantangan bagi organisasi dari semua lini dan ukuran berkat banyaknya patch yang diungkapkan pada bulan tertentu โ totalnya ratusan kerentanan bahwa tim TI perlu melakukan triase dan penilaian, seringkali tanpa banyak bimbingan untuk melanjutkan. Dan selanjutnya Lab Penelitian Skybox baru ditemukan bahwa kerentanan baru yang kemudian dieksploitasi di alam liar naik 24% pada tahun 2022.
โKerentanan apa pun yang diperingatkan CISA kepada Anda, jika ada di lingkungan Anda, Anda perlu menambalnya sekarang,โ Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, mengatakan kepada Dark Reading. โ[KEV] mencantumkan semua kerentanan yang digunakan oleh penyerang dunia nyata untuk menyerang target dunia nyata. Layanan hebat. Dan itu tidak hanya penuh dengan eksploitasi Windows atau Google Chrome. Saya pikir rata-rata petugas keamanan komputer akan terkejut dengan apa yang ada dalam daftar. Ini penuh dengan perangkat, patch firmware, VPN, DVR, dan banyak hal yang secara tradisional tidak dianggap sebagai target peretas.โ
Saatnya Menambal & Memantau Kompromi
Untuk bug PAN-OS yang baru dieksploitasi, patch tersedia dalam versi berikut:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Dan semua versi PAN-OS yang lebih baru untuk firewall PA-Series, VM-Series dan CN-Series.
Untuk menentukan apakah kerusakan sudah terjadi, โorganisasi harus memastikan mereka memiliki solusi yang mampu mengukur dampak bisnis dari risiko dunia maya menjadi dampak ekonomi,โ tulis Olaes.
Dia menambahkan, โIni juga akan membantu mereka mengidentifikasi dan memprioritaskan ancaman paling kritis berdasarkan ukuran dampak keuangan, di antara analisis risiko lainnya seperti skor risiko berbasis eksposur. Mereka juga harus meningkatkan kematangan program manajemen kerentanan mereka untuk memastikan mereka dapat dengan cepat menemukan apakah kerentanan berdampak pada mereka atau tidak dan seberapa mendesaknya untuk diperbaiki.โ
Grimes mencatat bahwa sebaiknya berlangganan email KEV CISA juga.
โJika Anda berlangganan, Anda akan mendapatkan setidaknya satu email seminggu, jika tidak lebih, yang memberi tahu kerentanan terbaru yang dieksploitasi,โ katanya. โIni bukan hanya masalah Jaringan Palo Alto. Tidak dengan imajinasi apa pun. โ
