Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) avertizează că o vulnerabilitate de securitate de mare severitate în firewall-urile Palo Alto Networks este exploatată în mod activ în sălbăticie.
Eroarea (CVE-2022-0028, cu un scor de severitate CVSS de 8.6), există în sistemul de operare PAN-OS care rulează firewall-urile și ar putea permite unui actor de amenințare de la distanță să abuzeze de firewall-uri pentru a implementa refuzul de serviciu distribuit. (DDoS) atacuri împotriva țintelor alese de ei – fără a fi nevoie să se autentifice.
Exploatarea problemei poate ajuta atacatorii să-și acopere urmele și locația.
„Atacul DoS pare să provină dintr-un firewall din seria PA Palo Alto Networks (hardware), seria VM (virtuală) și seria CN (container) împotriva unei ținte specificate de atacator”, conform avizului Palo Alto Networks emis. mai devreme luna asta.
„Vestea bună este că această vulnerabilitate nu oferă atacatorilor acces la rețeaua internă a victimei”, spune Phil Neray, vicepreședinte al strategiei de apărare cibernetică la CardinalOps. „Veștile proaste sunt că poate opri operațiunile critice pentru afaceri [la alte ținte], cum ar fi preluarea comenzilor și gestionarea cererilor de servicii pentru clienți.”
El observă că atacurile DDoS nu sunt organizate doar de actori neplăcuți minori, așa cum se presupune adesea: „DDoS a fost folosit în trecut de grupuri adverse precum APT28 împotriva Agenției Mondiale Anti-Doping”.
Bug-ul apare datorită unei configurări greșite a politicii de filtrare a URL-urilor.
Instanțele care utilizează o configurație non-standard sunt în pericol; pentru a fi exploatată, configurația firewall „trebuie să aibă un profil de filtrare URL cu una sau mai multe categorii blocate atribuite unei reguli de securitate cu o zonă sursă care are o interfață de rețea orientată spre exterior”, citire aviz.
Exploatat în sălbăticie
La două săptămâni de la acea dezvăluire, CISA a spus că acum a văzut bug-ul fiind adoptat de adversarii cibernetici în sălbăticie și l-a adăugat la Catalogul Known Exploited Vulnerabilities (KEV).. Atacatorii pot exploata defectul pentru a implementa atât versiuni reflectate, cât și versiuni amplificate ale inundațiilor DoS.
Bud Broomhead, CEO la Viakoo, spune că erorile care pot fi puse în funcțiune pentru a sprijini atacurile DDoS sunt din ce în ce mai solicitate.
„Abilitatea de a folosi un firewall Palo Alto Networks pentru a efectua atacuri reflectate și amplificate face parte dintr-o tendință generală de a utiliza amplificarea pentru a crea atacuri DDoS masive”, spune el. „Recentul anunț al Google privind un atac care a atins un vârf de 46 de milioane de solicitări pe secundă și alte atacuri DDoS record vor pune mai multă accent pe sistemele care pot fi exploatate pentru a permite acest nivel de amplificare.”
Viteza armelor se potrivește, de asemenea, tendinței atacatorilor cibernetici care au din ce în ce mai puțin timp pentru a pune în funcțiune noile vulnerabilități dezvăluite, dar acest lucru indică, de asemenea, un interes sporit pentru erori de severitate mai mică din partea actorilor amenințărilor.
„Prea des, cercetătorii noștri văd că organizațiile se deplasează pentru a corecta mai întâi vulnerabilitățile de cea mai mare severitate pe baza CVSS”, a scris Terry Olaes, director de inginerie de vânzări la Skybox Security, într-o declarație trimisă prin e-mail. „Cibercriminalii știu că așa multe companii își gestionează securitatea cibernetică, așa că au învățat să profite de vulnerabilitățile considerate mai puțin critice pentru a-și duce atacurile.”
dar prioritizarea patch-urilor continuă să fie o provocare pentru organizațiile de toate tipurile și dimensiunile datorită numărului mare de patch-uri care sunt dezvăluite într-o anumită lună - totalizează sute de vulnerabilități pe care echipele IT trebuie să trieze și să evalueze, adesea fără prea multe îndrumări pentru a continua. Și, în plus, Skybox Research Lab recent găsită că noile vulnerabilități care au continuat să fie exploatate în sălbăticie au crescut cu 24% în 2022.
„Orice vulnerabilitate despre care vă avertizează CISA, dacă aveți în mediul dumneavoastră, trebuie să corectați acum”, spune Roger Grimes, evanghelist de apărare bazat pe date la KnowBe4, pentru Dark Reading. „[KEV] enumeră toate vulnerabilitățile care au fost folosite de orice atacator din lumea reală pentru a ataca orice țintă din lumea reală. Servicii grozave. Și nu este doar plin de exploit-uri Windows sau Google Chrome. Cred că omul obișnuit cu securitatea computerelor ar fi surprins de ceea ce este pe listă. Este plin de dispozitive, corecții de firmware, VPN-uri, DVR-uri și o mulțime de lucruri care nu sunt considerate în mod tradițional ca fiind foarte vizate de hackeri.”
Este timpul să corectați și să monitorizați pentru compromis
Pentru bug-ul PAN-OS nou exploatat, corecțiile sunt disponibile în următoarele versiuni:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Și toate versiunile ulterioare PAN-OS pentru firewall-urile din seria PA, VM-Series și CN-Series.
Pentru a determina dacă daunele sunt deja făcute, „organizațiile ar trebui să se asigure că au soluții capabile să cuantifice impactul riscurilor cibernetice în impact economic”, a scris Olaes.
El a adăugat: „Acest lucru îi va ajuta, de asemenea, să identifice și să prioritizeze cele mai critice amenințări în funcție de dimensiunea impactului financiar, printre alte analize de risc, cum ar fi scorurile de risc bazate pe expunere. De asemenea, trebuie să sporească maturitatea programelor lor de gestionare a vulnerabilităților pentru a se asigura că pot descoperi rapid dacă o vulnerabilitate îi afectează sau nu și cât de urgent este remedierea.”
Grimes observă că este o idee bună să vă abonați și la e-mailurile KEV ale CISA.
„Dacă vă abonați, veți primi cel puțin un e-mail pe săptămână, dacă nu mai mult, care vă spune care sunt cele mai recente vulnerabilități exploatate”, spune el. „Nu este doar o problemă la Palo Alto Networks. Nu prin nici un fel de imaginație.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
