Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt dat een zeer ernstig beveiligingslek in Palo Alto Networks-firewalls actief wordt misbruikt in het wild.
De bug (CVE-2022-0028, met een CVSS-ernstscore van 8.6) bestaat in het PAN-OS-besturingssysteem dat de firewalls uitvoert, en kan een externe bedreigingsactor in staat stellen de firewalls te misbruiken om gedistribueerde denial-of-service te implementeren (DDoS)-aanvallen op doelen van hun keuze - zonder te hoeven authenticeren.
Exploitatie van het probleem kan aanvallers helpen hun sporen en locatie uit te wissen.
"De DoS-aanval lijkt afkomstig te zijn van een Palo Alto Networks PA-Series (hardware), VM-Series (virtueel) en CN-Series (container) firewall tegen een door een aanvaller gespecificeerd doelwit", aldus het advies van Palo Alto Networks. eerder deze maand.
"Het goede nieuws is dat deze kwetsbaarheid aanvallers geen toegang geeft tot het interne netwerk van het slachtoffer", zegt Phil Neray, vice-president cyberdefensiestrategie bij CardinalOps. "Het slechte nieuws is dat het bedrijfskritieke operaties [op andere doelen] kan stoppen, zoals het aannemen van bestellingen en het afhandelen van klantenserviceverzoeken."
Hij merkt op dat DDoS-aanvallen niet alleen worden opgezet door kleine overlastgevende actoren, zoals vaak wordt aangenomen: "DDoS is in het verleden gebruikt door tegenstanders zoals APT28 tegen het Wereldantidopingagentschap."
De bug ontstaat dankzij een verkeerde configuratie van het URL-filterbeleid.
Instanties die een niet-standaardconfiguratie gebruiken, lopen risico; om misbruikt te worden, moet de firewallconfiguratie "een URL-filterprofiel hebben met een of meer geblokkeerde categorieรซn die zijn toegewezen aan een beveiligingsregel met een bronzone met een extern gerichte netwerkinterface", de adviserend lezen.
Uitgebuit in het wild
Twee weken sinds die onthulling zei CISA dat het de bug nu door cyberaanvallers in het wild heeft geadopteerd, en het heeft het toegevoegd aan zijn Bekende Exploited Vulnerabilities (KEV)-catalogus. Aanvallers kunnen de fout misbruiken om zowel gereflecteerde als versterkte versies van DoS-floods in te zetten.
Bud Broomhead, CEO van Viakoo, zegt dat er steeds meer vraag is naar bugs die kunnen worden ingezet om DDoS-aanvallen te ondersteunen.
"De mogelijkheid om een โโPalo Alto Networks-firewall te gebruiken om gereflecteerde en versterkte aanvallen uit te voeren, maakt deel uit van een algemene trend om versterking te gebruiken om massale DDoS-aanvallen te creรซren", zegt hij. "Google's recente aankondiging van een aanval met een piek van 46 miljoen verzoeken per seconde, en andere recordbrekende DDoS-aanvallen zullen meer nadruk leggen op systemen die kunnen worden misbruikt om dat niveau van versterking mogelijk te maken."
De snelheid van bewapening past ook in de trend dat cyberaanvallers steeds minder tijd nodig hebben om nieuw onthulde kwetsbaarheden aan het werk te zetten, maar dit wijst ook op een toegenomen interesse in minder ernstige bugs van de kant van bedreigingsactoren.
"Te vaak zien onze onderzoekers organisaties verhuizen om de meest ernstige kwetsbaarheden eerst te patchen op basis van de CVSS", schreef Terry Olaes, directeur verkooptechniek bij Skybox Security, in een verklaring per e-mail. "Cybercriminelen weten dat dit is hoeveel bedrijven omgaan met hun cyberbeveiliging, dus ze hebben geleerd om te profiteren van kwetsbaarheden die als minder cruciaal worden beschouwd om hun aanvallen uit te voeren."
Maar patch prioritering blijft een uitdaging voor organisaties van alle soorten en maten dankzij het enorme aantal patches dat in een bepaalde maand wordt bekendgemaakt - het totaal honderden kwetsbaarheden die IT-teams vaak moeten beoordelen en beoordelen zonder veel begeleiding om verder te gaan. En verder Skybox Research Lab recent gevonden dat nieuwe kwetsbaarheden die later in het wild werden uitgebuit, in 24 met 2022% stegen.
"Elke kwetsbaarheid waarvoor CISA je waarschuwt, als je die in je omgeving hebt, moet je nu patchen", vertelt Roger Grimes, datagedreven defensie-evangelist bij KnowBe4, aan Dark Reading. โDe [KEV] somt alle kwetsbaarheden op die door een echte aanvaller zijn gebruikt om een โโecht doelwit aan te vallen. Goede service. En het zit niet alleen vol met Windows- of Google Chrome-exploits. Ik denk dat de gemiddelde computerbeveiligingspersoon verbaasd zou zijn over wat er op de lijst staat. Het zit vol met apparaten, firmware-patches, VPN's, DVR's en een heleboel dingen die traditioneel niet als zeer doelwit van hackers worden beschouwd."
Tijd om te patchen en te controleren op compromissen
Voor de nieuw misbruikte PAN-OS-bug zijn patches beschikbaar in de volgende versies:
- PAN OS 8.1.23-h1
- PAN OS 9.0.16-h3
- PAN OS 9.1.14-h4
- PAN OS 10.0.11-h1
- PAN OS 10.1.6-h6
- PAN OS 10.2.2-h2
- En alle latere PAN-OS-versies voor firewalls uit de PA-serie, VM-serie en CN-serie.
Om te bepalen of de schade al is aangericht, "moeten organisaties ervoor zorgen dat ze over oplossingen beschikken die de zakelijke impact van cyberrisico's kunnen kwantificeren in economische impact", schreef Olaes.
Hij voegde eraan toe: "Dit zal hen ook helpen de meest kritieke bedreigingen te identificeren en te prioriteren op basis van de omvang van de financiรซle impact, naast andere risicoanalyses zoals op blootstelling gebaseerde risicoscores. Ze moeten ook de volwassenheid van hun programma's voor kwetsbaarheidsbeheer verbeteren om ervoor te zorgen dat ze snel kunnen ontdekken of een kwetsbaarheid al dan niet gevolgen voor hen heeft en hoe dringend het is om deze te verhelpen."
Grimes merkt op dat het een goed idee is om je ook te abonneren op de KEV-e-mails van CISA.
"Als je je abonneert, ontvang je minstens een e-mail per week, zo niet meer, waarin staat wat de nieuwste misbruikte kwetsbaarheden zijn", zegt hij. โHet is niet alleen een Palo Alto Networks-probleem. Geenszins tot de verbeelding.โ
