ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Palo Alto Networks güvenlik duvarlarındaki yüksek önemdeki bir güvenlik açığının vahşi ortamda aktif olarak istismar edildiği konusunda uyarıyor.
Hata (CVE-2022-0028, CVSS önem puanı 8.6), güvenlik duvarlarını çalıştıran PAN-OS işletim sisteminde bulunur ve uzak bir tehdit aktörünün dağıtılmış hizmet reddini dağıtmak için güvenlik duvarlarını kötüye kullanmasına izin verebilir. (DDoS) kendi seçtikleri hedeflere yönelik saldırılar - kimlik doğrulaması yapmak zorunda kalmadan.
Sorunun istismar edilmesi, saldırganların izlerini ve konumlarını gizlemelerine yardımcı olabilir.
Palo Alto Networks tarafından yayınlanan danışma belgesine göre, "DoS saldırısı, saldırganın belirlediği bir hedefe karşı bir Palo Alto Networks PA-Serisi (donanım), VM-Serisi (sanal) ve CN-Serisi (konteyner) güvenlik duvarından kaynaklanıyor gibi görünüyor" bu aydan daha erken.
CardinalOps siber savunma stratejisi başkan yardımcısı Phil Neray, “İyi haber şu ki, bu güvenlik açığı saldırganlara kurbanın iç ağına erişim sağlamıyor” diyor. "Kötü haber şu ki, sipariş alma ve müşteri hizmetleri taleplerini işleme koyma gibi kritik iş operasyonlarını [diğer hedeflerde] durdurabilir."
DDoS saldırılarının, genellikle varsayıldığı gibi, yalnızca küçük çaplı baş belası aktörler tarafından gerçekleştirilmediğini belirtiyor: “DDoS, geçmişte APT28 gibi rakip gruplar tarafından Dünya Anti-Doping Ajansı'na karşı kullanıldı.”
Hata, URL filtreleme politikasının yanlış yapılandırılması nedeniyle ortaya çıkar.
Standart olmayan bir yapılandırma kullanan bulut sunucuları risk altındadır; Güvenlik duvarı yapılandırmasının istismar edilebilmesi için, "harici bir ağ arabirimine sahip bir kaynak bölgesine sahip bir güvenlik kuralına atanmış bir veya daha fazla engellenen kategoriye sahip bir URL filtreleme profiline sahip olması gerekir", tavsiye okuma.
Vahşi Sömürü
Bu açıklamadan iki hafta sonra CISA, böceğin vahşi doğada siber düşmanlar tarafından benimsendiğini gördüğünü ve bunu kendi listesine eklediğini söyledi. Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğu. Saldırganlar, DoS taşkınlarının hem yansıtılmış hem de güçlendirilmiş sürümlerini dağıtmak için kusurdan yararlanabilir.
Viakoo CEO'su Bud Broomhead, DDoS saldırılarını desteklemek için hizmete sokulabilecek böceklerin giderek daha fazla talep gördüğünü söylüyor.
"Yansıyan ve güçlendirilmiş saldırıları gerçekleştirmek için bir Palo Alto Networks güvenlik duvarı kullanma yeteneği, büyük DDoS saldırıları oluşturmak için amplifikasyonu kullanma eğiliminin bir parçasıdır" diyor. "Google'ın son zamanlarda, saniyede 46 milyon istekle zirveye ulaşan bir saldırı duyurusu ve diğer rekor kıran DDoS saldırıları, bu düzeyde bir amplifikasyon sağlamak için kullanılabilecek sistemlere daha fazla odaklanacak."
Silahlanma hızı, siber saldırganların yeni ortaya çıkan güvenlik açıklarını devreye sokmak için giderek daha az zaman harcayan eğilimine de uyuyor - ancak bu aynı zamanda tehdit aktörleri adına daha düşük önemdeki hatalara artan ilgiye de işaret ediyor.
Skybox Security'nin satış mühendisliği direktörü Terry Olaes, e-postayla gönderilen bir bildiride, "Araştırmacılarımız, organizasyonların önce CVSS'ye dayalı olarak en yüksek önemdeki güvenlik açıklarını düzeltmek için hareket ettiğini çok sık görüyor" dedi. "Siber suçlular, siber güvenliklerini bu kadar çok şirketin idare ettiğini biliyorlar, bu nedenle saldırılarını gerçekleştirmek için daha az kritik görülen güvenlik açıklarından yararlanmayı öğrendiler."
Fakat yama önceliği Belirli bir ayda açıklanan çok sayıda yama sayesinde her tür ve büyüklükteki kuruluş için bir zorluk olmaya devam ediyor - toplamda yüzlerce güvenlik açığı BT ekiplerinin sıklıkla triyaj yapması ve değerlendirmesi gereken devam etmek için fazla rehberlik olmadan. Ve ayrıca Skybox Araştırma Laboratuvarı kısa süre önce bulundu Vahşi doğada sömürülmeye devam eden yeni güvenlik açıkları 24'de %2022 arttı.
KnowBe4'te veriye dayalı savunma savunucusu Roger Grimes, Dark Reading'e “CISA'nın sizi uyardığı herhangi bir güvenlik açığı varsa, ortamınızda varsa, şimdi düzeltmeniz gerekir” diyor. “[KEV], gerçek dünyadaki herhangi bir saldırgan tarafından gerçek dünyadaki herhangi bir hedefe saldırmak için kullanılan tüm güvenlik açıklarını listeler. Harika servis. Ve sadece Windows veya Google Chrome istismarlarıyla dolu değil. Ortalama bir bilgisayar güvenlik görevlisinin listede ne olduğuna şaşıracağını düşünüyorum. Cihazlar, donanım yazılımı yamaları, VPN'ler, DVR'ler ve geleneksel olarak bilgisayar korsanları tarafından yüksek oranda hedeflendiği düşünülmeyen bir sürü şeyle dolu."
Uzlaşma için Yama ve İzleme Zamanı
Yeni yararlanılan PAN-OS hatası için aşağıdaki sürümlerde yamalar mevcuttur:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Ve PA-Serisi, VM-Serisi ve CN-Serisi güvenlik duvarları için sonraki tüm PAN-OS sürümleri.
Olaes, hasarın halihazırda verilip verilmediğini belirlemek için, "kuruluşlar, siber risklerin ticari etkisini ekonomik etki olarak ölçebilecek çözümlere sahip olduklarından emin olmalıdır" diye yazdı.
“Bu aynı zamanda, maruziyete dayalı risk puanları gibi diğer risk analizlerinin yanı sıra finansal etkinin boyutuna göre en kritik tehditleri belirlemelerine ve önceliklendirmelerine yardımcı olacak. Ayrıca, bir güvenlik açığının kendilerini etkileyip etkilemediğini ve düzeltilmesinin ne kadar acil olduğunu hızlı bir şekilde keşfedebilmelerini sağlamak için güvenlik açığı yönetimi programlarının olgunluğunu artırmaları gerekir.”
Grimes, CISA'nın KEV e-postalarına abone olmanın da iyi bir fikir olduğunu belirtiyor.
“Abone olursanız, haftada en az bir e-posta alacaksınız, daha fazla değilse, en son istismar edilen güvenlik açıklarının neler olduğunu anlatan bir e-posta alacaksınız” diyor. “Bu sadece bir Palo Alto Networks sorunu değil. Hayal gücünüzü zorlamadan değil.”
