La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti avverte che una vulnerabilità di sicurezza di alta gravità nei firewall di Palo Alto Networks viene attivamente sfruttata in natura.
Il bug (CVE-2022-0028, con un punteggio di gravità CVSS di 8.6), esiste nel sistema operativo PAN-OS che esegue i firewall e potrebbe consentire a un attore di minacce remote di abusare dei firewall per implementare il denial-of-service distribuito (DDoS) contro obiettivi di loro scelta, senza doversi autenticare.
Lo sfruttamento del problema può aiutare gli aggressori a coprire le loro tracce e la loro posizione.
"L'attacco DoS sembrerebbe provenire da un firewall Palo Alto Networks PA-Series (hardware), VM-Series (virtuale) e CN-Series (container) contro un obiettivo specificato dall'attaccante", secondo l'advisory di Palo Alto Networks pubblicato all'inizio di questo mese.
"La buona notizia è che questa vulnerabilità non fornisce agli aggressori l'accesso alla rete interna della vittima", afferma Phil Neray, vicepresidente della strategia di difesa informatica di CardinalOps. "La cattiva notizia è che può fermare le operazioni business-critical [ad altri obiettivi] come prendere ordini e gestire le richieste del servizio clienti".
Osserva che gli attacchi DDoS non sono solo montati da piccoli attori molesti, come spesso si presume: "DDoS è stato utilizzato in passato da gruppi avversari come APT28 contro l'Agenzia mondiale antidoping".
Il bug sorge a causa di un'errata configurazione della politica di filtraggio degli URL.
Le istanze che utilizzano una configurazione non standard sono a rischio; per essere sfruttata, la configurazione del firewall "deve avere un profilo di filtraggio URL con una o più categorie bloccate assegnate a una regola di sicurezza con una zona sorgente che abbia un'interfaccia di rete esterna", il lettura consultiva.
Sfruttato in natura
A due settimane da tale divulgazione, la CISA ha affermato di aver visto il bug adottato dai cyber avversari in natura e lo ha aggiunto al suo Catalogo delle vulnerabilità sfruttate note (KEV).. Gli aggressori possono sfruttare il difetto per implementare versioni sia riflesse che amplificate di inondazioni DoS.
Bud Broomhead, CEO di Viakoo, afferma che i bug che possono essere messi in servizio per supportare gli attacchi DDoS sono sempre più richiesti.
"La possibilità di utilizzare un firewall Palo Alto Networks per eseguire attacchi riflessi e amplificati fa parte di una tendenza generale a utilizzare l'amplificazione per creare attacchi DDoS di massa", afferma. "Il recente annuncio di Google di un attacco che ha raggiunto il picco di 46 milioni di richieste al secondo e altri attacchi DDoS da record porranno maggiore attenzione ai sistemi che possono essere sfruttati per consentire quel livello di amplificazione".
La velocità dell'armamento si adatta anche alla tendenza degli aggressori informatici che impiegano sempre meno tempo per mettere in atto le vulnerabilità recentemente rivelate, ma questo indica anche un maggiore interesse per i bug di minore gravità da parte degli attori delle minacce.
"Troppo spesso, i nostri ricercatori vedono le organizzazioni muoversi per correggere le vulnerabilità di massima gravità prima sulla base del CVSS", ha scritto Terry Olaes, direttore dell'ingegneria delle vendite di Skybox Security, in una dichiarazione inviata via e-mail. "I criminali informatici sanno che questo è il numero di aziende che gestiscono la propria sicurezza informatica, quindi hanno imparato a sfruttare le vulnerabilità considerate meno critiche per portare a termine i loro attacchi".
Ma prioritizzazione delle patch continua a essere una sfida per le organizzazioni di tutte le bande e dimensioni grazie all'enorme numero di patch che vengono divulgate in un determinato mese: è un totale centinaia di vulnerabilità che i team IT hanno bisogno di triage e valutare, spesso senza molte indicazioni per andare avanti. E inoltre Skybox Research Lab trovato di recente che le nuove vulnerabilità che sono state sfruttate in natura sono aumentate del 24% nel 2022.
"Qualsiasi vulnerabilità di cui CISA ti avverte, se hai nel tuo ambiente, devi correggere ora", dice a Dark Reading Roger Grimes, evangelista della difesa basata sui dati di KnowBe4. “Il [KEV] elenca tutte le vulnerabilità che sono state utilizzate da qualsiasi attaccante del mondo reale per attaccare qualsiasi obiettivo del mondo reale. Buon servizio. E non è solo pieno di exploit di Windows o Google Chrome. Penso che la persona media della sicurezza informatica sarebbe sorpresa da cosa c'è nell'elenco. È pieno di dispositivi, patch firmware, VPN, DVR e un sacco di cose che tradizionalmente non sono considerate altamente prese di mira dagli hacker".
È ora di applicare patch e monitorare i compromessi
Per il bug PAN-OS appena sfruttato, le patch sono disponibili nelle seguenti versioni:
- PAN OS 8.1.23-h1
- PAN OS 9.0.16-h3
- PAN OS 9.1.14-h4
- PAN OS 10.0.11-h1
- PAN OS 10.1.6-h6
- PAN OS 10.2.2-h2
- E tutte le successive versioni PAN-OS per firewall serie PA, serie VM e serie CN.
Per determinare se il danno è già stato fatto, "le organizzazioni dovrebbero assicurarsi di disporre di soluzioni in grado di quantificare l'impatto sul business dei rischi informatici in impatto economico", ha scritto Olaes.
Ha aggiunto: "Ciò li aiuterà anche a identificare e dare priorità alle minacce più critiche in base alla dimensione dell'impatto finanziario, tra le altre analisi del rischio come i punteggi di rischio basati sull'esposizione. Devono anche migliorare la maturità dei loro programmi di gestione delle vulnerabilità per garantire che possano scoprire rapidamente se una vulnerabilità li ha ripercussioni o meno e quanto sia urgente rimediare".
Grimes osserva che è una buona idea iscriversi anche alle e-mail KEV della CISA.
"Se ti iscrivi, riceverai almeno un'e-mail a settimana, se non di più, che ti dice quali sono le ultime vulnerabilità sfruttate", afferma. “Non è solo un problema di Palo Alto Networks. Non per alcuno sforzo di immaginazione.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
