Den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) varnar för att en allvarlig säkerhetsrisk i Palo Alto Networks brandväggar aktivt utnyttjas i naturen.
Felet (CVE-2022-0028, med ett CVSS-allvarlighetspoäng på 8.6) finns i PAN-OS operativsystem som kör brandväggarna och kan tillåta en fjärrhotaktör att missbruka brandväggarna för att distribuera distribuerad denial-of-service (DDoS) attacker mot mål som de väljer – utan att behöva autentisera.
Utnyttjande av problemet kan hjälpa angripare att täcka sina spår och plats.
"DoS-attacken verkar härröra från en Palo Alto Networks PA-Series (hårdvara), VM-Series (virtuell) och CN-Series (container) brandvägg mot ett angriparspecificerat mål", enligt Palo Alto Networks-rådgivningen. Tidigare den här månaden.
"Den goda nyheten är att den här sårbarheten inte ger angripare tillgång till offrets interna nätverk", säger Phil Neray, vice vd för cyberförsvarsstrategi på CardinalOps. "Den dåliga nyheten är att det kan stoppa affärskritiska operationer [vid andra mål] som att ta order och hantera kundtjänstförfrågningar."
Han noterar att DDoS-attacker inte bara utförs av små störande aktörer, som ofta antas: "DDoS har tidigare använts av motståndsgrupper som APT28 mot World Anti-Doping Agency."
Felet uppstår tack vare en felaktig konfiguration av URL-filtreringspolicy.
Förekomster som använder en icke-standardkonfiguration är i riskzonen; för att kunna utnyttjas måste brandväggskonfigurationen "ha en URL-filtreringsprofil med en eller flera blockerade kategorier tilldelade en säkerhetsregel med en källzon som har ett externt vänt nätverksgränssnitt", rådgivande läsning.
Exploaterad i det vilda
Två veckor sedan avslöjandet sa CISA att de nu har sett buggen adopteras av cyberfientliga i naturen, och den har lagts till i sin Katalog med kända exploaterade sårbarheter (KEV).. Angripare kan utnyttja felet för att distribuera både reflekterade och förstärkta versioner av DoS-översvämningar.
Bud Broomhead, VD på Viakoo, säger att buggar som kan tas i bruk för att stödja DDoS-attacker efterfrågas mer och mer.
"Möjligheten att använda en brandvägg från Palo Alto Networks för att utföra reflekterade och förstärkta attacker är en del av en övergripande trend att använda förstärkning för att skapa massiva DDoS-attacker", säger han. "Googles senaste tillkännagivande om en attack som nådde en topp på 46 miljoner förfrågningar per sekund och andra rekordstora DDoS-attacker kommer att lägga mer fokus på system som kan utnyttjas för att möjliggöra den nivån av förstärkning."
Hastigheten på beväpning passar också trenden att cyberattackare tar allt mindre tid att sätta nyligen avslöjade sårbarheter i arbete - men detta pekar också på ett ökat intresse för mindre allvarliga buggar från hotaktörernas sida.
"Alltför ofta ser våra forskare organisationer flytta för att korrigera de högsta sårbarheterna först baserat på CVSS," skrev Terry Olaes, chef för försäljningsteknik på Skybox Security, i ett e-postmeddelande. "Cyberbrottslingar vet att det är så här många företag hanterar sin cybersäkerhet, så de har lärt sig att dra fördel av sårbarheter som ses som mindre kritiska för att utföra sina attacker."
Men prioritering av patch fortsätter att vara en utmaning för organisationer av alla ränder och storlekar tack vare det stora antalet lappar som avslöjas under en given månad - det är totalt hundratals sårbarheter att IT-team behöver triage och utvärdera, ofta utan mycket vägledning att gå vidare. Och dessutom Skybox Research Lab hittades nyligen att nya sårbarheter som fortsatte att utnyttjas i det vilda steg med 24 % 2022.
"All sårbarhet som CISA varnar dig för, om du har i din miljö, måste du korrigera nu," säger Roger Grimes, datadriven försvarsevangelist på KnowBe4, till Dark Reading. "[KEV] listar alla sårbarheter som användes av en verklig angripare för att attackera alla verkliga mål. Jättebra service. Och det är inte bara fullt av Windows- eller Google Chrome-exploater. Jag tror att den genomsnittliga datorsäkerhetspersonen skulle bli förvånad över vad som finns på listan. Den är full av enheter, firmware-patchar, VPN:er, DVR:er och massor av saker som traditionellt inte anses vara särskilt riktade till hackare."
Dags att patcha och övervaka för kompromisser
För det nyligen utnyttjade PAN-OS-felet finns patchar tillgängliga i följande versioner:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Och alla senare PAN-OS-versioner för PA-serien, VM-serien och CN-seriens brandväggar.
För att avgöra om skadan redan är skedd, "bör organisationer se till att de har lösningar på plats som kan kvantifiera affärseffekterna av cyberrisker till ekonomiska effekter", skrev Olaes.
Han tillade, "Detta kommer också att hjälpa dem att identifiera och prioritera de mest kritiska hoten baserat på storleken på den ekonomiska effekten, bland andra riskanalyser som exponeringsbaserade riskpoäng. De måste också förbättra mognaden i sina program för sårbarhetshantering för att säkerställa att de snabbt kan upptäcka om en sårbarhet påverkar dem eller inte och hur brådskande det är att åtgärda."
Grimes noterar att det är en bra idé att också prenumerera på CISA:s KEV-e-postmeddelanden.
"Om du prenumererar får du minst ett e-postmeddelande i veckan, om inte mer, som berättar vilka de senaste exploaterade sårbarheterna är", säger han. "Det är inte bara ett Palo Alto Networks-problem. Inte på något sätt."
