CISA: recém-divulgado bug de firewall da Palo Alto Networks sob exploração ativa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está alertando que uma vulnerabilidade de segurança de alta gravidade nos firewalls da Palo Alto Networks está sendo explorada ativamente na natureza.

O bug (CVE-2022-0028, com pontuação de gravidade CVSS de 8.6) existe no sistema operacional PAN-OS que executa os firewalls e pode permitir que um agente de ameaça remoto abuse dos firewalls para implantar negação de serviço distribuída (DDoS) contra alvos de sua escolha — sem precisar autenticar.

A exploração do problema pode ajudar os invasores a cobrir seus rastros e localização.

“O ataque DoS parece se originar de um firewall Palo Alto Networks PA-Series (hardware), VM-Series (virtual) e CN-Series (contêiner) contra um alvo especificado pelo invasor”, de acordo com o comunicado da Palo Alto Networks emitido no início deste mês.

“A boa notícia é que essa vulnerabilidade não fornece aos invasores acesso à rede interna da vítima”, diz Phil Neray, vice-presidente de estratégia de defesa cibernética da CardinalOps. “A má notícia é que ele pode interromper operações críticas para os negócios [em outros alvos], como receber pedidos e lidar com solicitações de atendimento ao cliente.”

Ele observa que os ataques DDoS não são apenas montados por pequenos atores incômodos, como muitas vezes se supõe: “O DDoS foi usado no passado por grupos adversários como o APT28 contra a Agência Mundial Antidoping”.

O bug surge graças a uma configuração incorreta da política de filtragem de URL.

As instâncias que usam uma configuração não padrão estão em risco; para ser explorada, a configuração do firewall “deve ter um perfil de filtragem de URL com uma ou mais categorias bloqueadas atribuídas a uma regra de segurança com uma zona de origem que tenha uma interface de rede externa”, o leitura consultiva.

Explorado na selva

Duas semanas após essa divulgação, a CISA disse que agora viu o bug sendo adotado por adversários cibernéticos em estado selvagem, e o adicionou ao seu Catálogo de vulnerabilidades exploradas conhecidas (KEV). Os invasores podem explorar a falha para implantar versões refletidas e amplificadas de inundações de DoS.

Bud Broomhead, CEO da Viakoo, diz que os bugs que podem ser colocados em serviço para dar suporte a ataques DDoS estão em demanda cada vez maior.

“A capacidade de usar um firewall da Palo Alto Networks para realizar ataques refletidos e amplificados faz parte de uma tendência geral de usar a amplificação para criar ataques DDoS massivos”, diz ele. “O anúncio recente do Google de um ataque que atingiu o pico de 46 milhões de solicitações por segundo e outros ataques DDoS recordes colocarão mais foco em sistemas que podem ser explorados para permitir esse nível de amplificação.”

A velocidade do armamento também se encaixa na tendência de os ciberataques levarem cada vez menos tempo para colocar as vulnerabilidades recém-divulgadas em funcionamento – mas isso também aponta para um interesse maior em bugs de menor gravidade por parte dos agentes de ameaças.

“Muitas vezes, nossos pesquisadores veem as organizações se movendo para corrigir as vulnerabilidades de maior gravidade primeiro com base no CVSS”, escreveu Terry Olaes, diretor de engenharia de vendas da Skybox Security, em um comunicado por e-mail. “Os cibercriminosos sabem que é assim que muitas empresas lidam com sua segurança cibernética, então eles aprenderam a aproveitar as vulnerabilidades vistas como menos críticas para realizar seus ataques.”

BUT priorização de patches continua a ser um desafio para organizações de todos os tipos e tamanhos, graças ao grande número de patches divulgados em um determinado mês - totaliza centenas de vulnerabilidades que as equipes de TI precisam fazer a triagem e avaliar, muitas vezes sem muita orientação para continuar. E além disso Skybox Research Lab encontrado recentemente que as novas vulnerabilidades que passaram a ser exploradas na natureza aumentaram 24% em 2022.

“Qualquer vulnerabilidade sobre a qual a CISA o avisa, se você tiver em seu ambiente, precisa corrigir agora”, diz Roger Grimes, evangelista de defesa orientado a dados da KnowBe4, à Dark Reading. “O [KEV] lista todas as vulnerabilidades que foram usadas por qualquer invasor do mundo real para atacar qualquer alvo do mundo real. Ótimo serviço. E não está apenas cheio de explorações do Windows ou do Google Chrome. Acho que a pessoa média de segurança de computadores ficaria surpresa com o que está na lista. Está cheio de dispositivos, patches de firmware, VPNs, DVRs e uma tonelada de coisas que tradicionalmente não são consideradas altamente visadas por hackers.”

Tempo para corrigir e monitorar o compromisso

Para o bug recém-explorado do PAN-OS, os patches estão disponíveis nas seguintes versões:

• PAN-OS 8.1.23-h1
• PAN-OS 9.0.16-h3
• PAN-OS 9.1.14-h4
• PAN-OS 10.0.11-h1
• PAN-OS 10.1.6-h6
• PAN-OS 10.2.2-h2
• E todas as versões posteriores do PAN-OS para firewalls Série PA, Série VM e Série CN.

Para determinar se o dano já foi feito, “as organizações devem garantir que tenham soluções capazes de quantificar o impacto comercial dos riscos cibernéticos em impacto econômico”, escreveu Olaes.

Ele acrescentou: “Isso também os ajudará a identificar e priorizar as ameaças mais críticas com base no tamanho do impacto financeiro, entre outras análises de risco, como pontuações de risco baseadas em exposição. Eles também devem aprimorar a maturidade de seus programas de gerenciamento de vulnerabilidades para garantir que possam descobrir rapidamente se uma vulnerabilidade os afeta ou não e quão urgente é remediar”.

Grimes observa que também é uma boa ideia assinar os e-mails KEV da CISA.

“Se você se inscrever, receberá pelo menos um e-mail por semana, se não mais, informando quais são as vulnerabilidades exploradas mais recentes”, diz ele. “Não é apenas um problema da Palo Alto Networks. Nem por qualquer extensão da imaginação.”