CISA: только что обнаруженная ошибка брандмауэра Palo Alto Networks при активном использовании

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) предупреждает, что серьезная уязвимость безопасности в брандмауэрах Palo Alto Networks активно эксплуатируется в дикой природе.

Ошибка (CVE-2022-0028 с оценкой серьезности CVSS 8.6) существует в операционной системе PAN-OS, в которой работают брандмауэры, и может позволить удаленному злоумышленнику злоупотреблять брандмауэрами для развертывания распределенного отказа в обслуживании. (DDoS) атаки против целей по их выбору — без аутентификации.

Использование проблемы может помочь злоумышленникам замести следы и местонахождение.

«Похоже, что DoS-атака исходит от брандмауэра Palo Alto Networks PA-Series (аппаратное обеспечение), VM-Series (виртуальный) и CN-Series (контейнер) против указанной злоумышленником цели», — говорится в бюллетене Palo Alto Networks. ранее в этом месяце.

«Хорошая новость заключается в том, что эта уязвимость не дает злоумышленникам доступа к внутренней сети жертвы, — говорит Фил Нерей, вице-президент по стратегии киберзащиты в CardinalOps. «Плохая новость заключается в том, что это может остановить критически важные для бизнеса операции [на других объектах], такие как прием заказов и обработка запросов на обслуживание клиентов».

Он отмечает, что DDoS-атаки организуются не просто мелкими досаждающими субъектами, как это часто предполагается: «DDoS-атаки в прошлом использовались враждебными группами, такими как APT28, против Всемирного антидопингового агентства».

Ошибка возникает из-за неправильной настройки политики фильтрации URL-адресов.

Экземпляры, использующие нестандартную конфигурацию, подвержены риску; для использования, конфигурация брандмауэра «должна иметь профиль фильтрации URL-адресов с одной или несколькими заблокированными категориями, назначенными правилу безопасности с исходной зоной, которая имеет внешний сетевой интерфейс», рекомендательное чтение.

Эксплуатируется в дикой природе

Спустя две недели после этого раскрытия CISA заявила, что увидела, что ошибка используется киберпреступниками в дикой природе, и добавила ее в свой список. Каталог известных эксплуатируемых уязвимостей (KEV). Злоумышленники могут использовать эту уязвимость для развертывания как отраженных, так и усиленных версий DoS-флуда.

Бад Брумхед, генеральный директор Viakoo, говорит, что ошибки, которые можно использовать для поддержки DDoS-атак, пользуются все большим спросом.

«Возможность использования брандмауэра Palo Alto Networks для выполнения отраженных и усиленных атак является частью общей тенденции использования усиления для создания массовых DDoS-атак», — говорит он. «Недавнее объявление Google об атаке, которая достигла пика в 46 миллионов запросов в секунду, и других рекордных DDoS-атаках сосредоточит внимание на системах, которые можно использовать для обеспечения такого уровня усиления».

Скорость создания оружия также соответствует тенденции к тому, что кибератакам требуется все меньше времени, чтобы привести в действие недавно обнаруженные уязвимости, но это также указывает на повышенный интерес к менее серьезным ошибкам со стороны злоумышленников.

«Слишком часто наши исследователи видят, как организации переходят к исправлению наиболее серьезных уязвимостей в первую очередь на основе CVSS», — написал Терри Олаес, директор по продажам в Skybox Security, в заявлении по электронной почте. «Киберпреступники знают, что именно так многие компании обеспечивают свою кибербезопасность, поэтому они научились использовать уязвимости, считающиеся менее важными, для проведения своих атак».

Но приоритезация патчей продолжает оставаться проблемой для организаций всех мастей и размеров благодаря огромному количеству исправлений, которые раскрываются в данном месяце — всего сотни уязвимостей которые ИТ-команды должны сортировать и оценивать, часто без особого руководства, чтобы продолжать. И, кроме того, исследовательская лаборатория Skybox недавно нашли что новые уязвимости, которые продолжали эксплуатироваться в дикой природе, выросли на 24% в 2022 году.

«Любая уязвимость, о которой вас предупреждает CISA, если она есть в вашей среде, вам нужно исправить сейчас», — говорит Dark Reading Роджер Граймс, евангелист по защите данных в KnowBe4. «[KEV] перечисляет все уязвимости, которые использовались любым реальным злоумышленником для атаки на любую реальную цель. Отличный сервис. И это не просто эксплойты для Windows или Google Chrome. Я думаю, что средний специалист по компьютерной безопасности был бы удивлен тем, что находится в списке. Он полон устройств, исправлений прошивки, VPN, видеорегистраторов и множества других вещей, которые традиционно не считаются объектом пристального внимания хакеров».

Время исправлять и отслеживать компрометацию

Исправления для недавно использованной ошибки PAN-OS доступны в следующих версиях:

• ПАН-ОС 8.1.23-h1
• ПАН-ОС 9.0.16-h3
• ПАН-ОС 9.1.14-h4
• ПАН-ОС 10.0.11-h1
• ПАН-ОС 10.1.6-h6
• ПАН-ОС 10.2.2-h2
• И все более поздние версии PAN-OS для межсетевых экранов PA-Series, VM-Series и CN-Series.

Чтобы определить, нанесен ли уже ущерб, «организации должны убедиться, что у них есть решения, способные количественно оценить влияние киберрисков на бизнес на экономический эффект», — пишет Олаес.

Он добавил: «Это также поможет им выявлять и определять приоритеты наиболее серьезных угроз на основе размера финансового воздействия, среди других анализов рисков, таких как оценки риска на основе воздействия. Они также должны повысить зрелость своих программ управления уязвимостями, чтобы они могли быстро определить, влияет ли на них уязвимость и насколько срочно необходимо ее устранить».

Граймс отмечает, что было бы неплохо также подписаться на рассылку KEV от CISA.

«Если вы подпишетесь, вы будете получать электронное письмо минимум раз в неделю, если не чаще, с информацией о последних использованных уязвимостях», — говорит он. «Это не просто проблема Palo Alto Networks. Ни при каком натяжении воображения.