미국 CISA(Cybersecurity and Infrastructure Security Agency)는 Palo Alto Networks 방화벽의 심각도가 높은 보안 취약점이 활발히 악용되고 있다고 경고했습니다.
버그(CVE-2022-0028, CVSS 심각도 점수 8.6)는 방화벽을 실행하는 PAN-OS 운영 체제에 존재하며 원격 위협 행위자가 방화벽을 악용하여 분산 서비스 거부를 배포할 수 있습니다. (DDoS) 인증 없이 선택한 대상에 대한 공격.
문제를 악용하면 공격자가 자신의 흔적과 위치를 은폐하는 데 도움이 될 수 있습니다.
Palo Alto Networks 권고에 따르면 DoS 공격은 Palo Alto Networks PA-Series(하드웨어), VM-Series(가상) 및 CN-Series(컨테이너) 방화벽에서 공격자가 지정한 대상에 대해 발생하는 것으로 보입니다. 이번달 초.
CardinalOps의 사이버 방어 전략 부사장인 Phil Neray는 "좋은 소식은 이 취약점으로 인해 공격자가 피해자의 내부 네트워크에 액세스할 수 없다는 것입니다. "나쁜 소식은 주문을 받고 고객 서비스 요청을 처리하는 것과 같은 [다른 대상에서] 비즈니스 크리티컬 작업을 중단할 수 있다는 것입니다."
그는 "DDoS는 과거에 APT28과 같은 적대 그룹이 세계반도핑기구(WADA)에 대해 과거에 사용했다고 가정하는 것처럼 소규모 성가신 행위자에 의해 시작되는 것이 아닙니다."라고 지적합니다.
URL 필터링 정책이 잘못 구성되어 버그가 발생합니다.
비표준 구성을 사용하는 인스턴스는 위험합니다. 악용되기 위해 방화벽 구성에는 "외부 대면 네트워크 인터페이스가 있는 소스 영역이 있는 보안 규칙에 할당된 하나 이상의 차단된 범주가 있는 URL 필터링 프로필이 있어야 합니다." 권고 읽기.
야생에서 착취
공개된 지 XNUMX주 후 CISA는 이제 이 버그가 야생의 사이버 공격자들에 의해 채택되는 것을 목격했으며 이를 알려진 악용 취약점(KEV) 카탈로그. 공격자는 이 결함을 악용하여 DoS 플러드의 반사 버전과 증폭 버전을 모두 배포할 수 있습니다.
Viakoo의 CEO인 Bud Broomhead는 DDoS 공격을 지원하기 위해 서비스에 마샬링할 수 있는 버그가 점점 더 많이 요구되고 있다고 말했습니다.
"Palo Alto Networks 방화벽을 사용하여 반사 및 증폭 공격을 수행하는 기능은 증폭을 사용하여 대규모 DDoS 공격을 생성하는 전반적인 추세의 일부입니다."라고 그는 말합니다. "초당 46만 요청으로 정점을 찍은 공격과 기타 기록적인 DDoS 공격에 대한 Google의 최근 발표는 그러한 수준의 증폭을 가능하게 하기 위해 악용될 수 있는 시스템에 더 초점을 맞출 것입니다."
무기화의 속도는 사이버 공격자가 새로 공개된 취약점을 작동시키는 데 점점 더 적은 시간을 들이는 추세와도 일치합니다.
Skybox Security의 영업 엔지니어링 이사인 Terry Olaes는 이메일 성명에서 "우리 연구원들은 조직이 CVSS를 기반으로 가장 심각도가 가장 높은 취약점을 먼저 패치하는 것을 너무 자주 봅니다."라고 말했습니다. "사이버 범죄자들은 얼마나 많은 회사가 사이버 보안을 처리하는지 알고 있으므로 공격을 수행하는 데 덜 중요하다고 여겨지는 취약점을 이용하는 방법을 배웠습니다."
그러나 패치 우선 순위 특정 월에 공개되는 수많은 패치 덕분에 모든 유형과 규모의 조직이 계속해서 당면한 과제입니다. 수백 가지 취약점 IT 팀이 분류하고 평가해야 하는 경우가 많습니다. 계속해서 많은 안내 없이. 그리고 더 나아가 스카이박스 연구소 최근에 발견 된 야생에서 악용된 새로운 취약점은 24년에 2022% 증가했습니다.
KnowBe4의 데이터 기반 방어 전도사인 Roger Grimes는 Dark Reading에 "CISA가 경고하는 취약점이 있다면 지금 바로 패치해야 합니다."라고 말했습니다. “[KEV]는 실제 공격자가 실제 표적을 공격하는 데 사용한 모든 취약점을 나열합니다. 훌륭한 서비스. 또한 Windows 또는 Google Chrome 익스플로잇으로 가득 차 있지 않습니다. 일반 컴퓨터 보안 담당자는 목록에 있는 내용에 대해 놀랄 것입니다. 장치, 펌웨어 패치, VPN, DVR 및 전통적으로 해커의 표적이 되는 것으로 생각되지 않는 수많은 항목으로 가득 차 있습니다.”
침해에 대한 패치 및 모니터링 시간
새로 악용된 PAN-OS 버그의 경우 다음 버전에서 패치를 사용할 수 있습니다.
- 팬-OS 8.1.23-h1
- 팬-OS 9.0.16-h3
- 팬-OS 9.1.14-h4
- 팬-OS 10.0.11-h1
- 팬-OS 10.1.6-h6
- 팬-OS 10.2.2-h2
- 그리고 PA-시리즈, VM-시리즈 및 CN-시리즈 방화벽을 위한 모든 최신 PAN-OS 버전.
Olaes는 피해가 이미 발생했는지 확인하기 위해 "조직은 사이버 위험의 비즈니스 영향을 경제적 영향으로 정량화할 수 있는 솔루션이 있는지 확인해야 합니다"라고 썼습니다.
그는 "이는 또한 노출 기반 위험 점수와 같은 다른 위험 분석 중에서 재정적 영향의 크기를 기반으로 가장 중요한 위협을 식별하고 우선 순위를 지정하는 데 도움이 될 것입니다. 또한 취약성이 자신에게 영향을 미치는지 여부와 해결이 얼마나 시급한지를 신속하게 파악할 수 있도록 취약성 관리 프로그램의 성숙도를 향상시켜야 합니다.”
Grimes는 CISA의 KEV 이메일도 구독하는 것이 좋습니다.
“구독하면 최근에 악용된 취약점이 무엇인지 알려주는 이메일을 일주일에 한 번 이상 받게 됩니다.”라고 그는 말합니다. “팔로알토 네트웍스만의 문제가 아닙니다. 상상의 나래를 펴서가 아닙니다.”
