Агентство з кібербезпеки та безпеки інфраструктури США (CISA) попереджає, що в брандмауерах Palo Alto Networks активно використовується вразливість безпеки високого рівня.
Помилка (CVE-2022-0028, з оцінкою серйозності CVSS 8.6) існує в операційній системі PAN-OS, яка запускає брандмауери, і може дозволити віддаленому учаснику загрози використовувати брандмауери для розгортання розподіленої відмови в обслуговуванні. (DDoS) атаки на цілі за їхнім вибором — без автентифікації.
Використання цієї проблеми може допомогти зловмисникам приховати сліди та місце розташування.
«Схоже, що DoS-атака походить від брандмауера Palo Alto Networks PA-Series (апаратне), VM-Series (віртуальний) і CN-Series (контейнерний) проти цілі, визначеної зловмисником», – йдеться в повідомленні Palo Alto Networks. на початку цього місяця.
«Хороша новина полягає в тому, що ця вразливість не надає зловмисникам доступу до внутрішньої мережі жертви», — говорить Філ Нерей, віце-президент зі стратегії кіберзахисту компанії CardinalOps. «Погана новина полягає в тому, що він може призупинити критично важливі для бізнесу операції [на інших цілях], такі як прийом замовлень і обробка запитів на обслуговування клієнтів».
Він зазначає, що DDoS-атаки організовуються не лише дрібними неприємними особами, як часто припускають: «DDoS використовувався в минулому супротивними групами, такими як APT28, проти Всесвітнього антидопінгового агентства».
Помилка виникає через неправильне налаштування політики фільтрації URL-адрес.
Екземпляри, які використовують нестандартну конфігурацію, знаходяться під загрозою; для використання конфігурація брандмауера «повинна мати профіль фільтрації URL-адрес з однією або кількома заблокованими категоріями, призначеними правилу безпеки з вихідною зоною, яка має зовнішній мережевий інтерфейс», консультаційне читання.
Експлуатується в дикій природі
Через два тижні після цього розголошення CISA повідомила, що наразі бачила, що помилка використовується кіберсупротивниками в дикій природі, і додала її до своїх Каталог відомих використаних вразливостей (KEV).. Зловмисники можуть використовувати недолік для розгортання як відображених, так і розширених версій DoS-потоків.
Бад Брумхед, генеральний директор Viakoo, каже, що помилки, які можна використовувати для підтримки DDoS-атак, користуються все більшим попитом.
«Можливість використовувати брандмауер Palo Alto Networks для виконання відображених і посилених атак є частиною загальної тенденції використання посилення для створення масових DDoS-атак», — говорить він. «Нещодавнє оголошення Google про атаку, яка досягла піку в 46 мільйонів запитів на секунду, та інші рекордні DDoS-атаки приділять більше уваги системам, які можна використати для забезпечення такого рівня посилення».
Швидкість створення зброї також відповідає тенденції, коли кібератакникам витрачається все менше часу, щоб запустити нещодавно виявлені вразливості, але це також вказує на підвищений інтерес до менш серйозних помилок з боку суб’єктів загрози.
«Занадто часто наші дослідники бачать, що організації починають виправляти найсерйозніші вразливості на основі CVSS», — написав Террі Олас, директор відділу продажів у Skybox Security, у заяві, надісланій електронною поштою. «Кіберзлочинці знають, як багато компаній займаються своєю кібербезпекою, тому вони навчилися використовувати вразливості, які вважаються менш критичними, для здійснення своїх атак».
але пріоритетність виправлень продовжує залишатися проблемою для організацій будь-якого масштабу та розміру завдяки величезній кількості виправлень, які розкриваються протягом певного місяця — це загальна сотні вразливостей ІТ-командам часто потрібно сортувати та оцінювати без особливих вказівок, щоб продовжити. А також Skybox Research Lab нещодавно знайдене що нові вразливості, які почали використовувати в дикій природі, зросли на 24% у 2022 році.
«Будь-яку вразливість, про яку вас попереджає CISA, якщо вона є у вашому середовищі, вам потрібно негайно виправити», — розповідає Dark Reading Роджер Граймс, проповідник захисту на основі даних у KnowBe4. «[KEV] перераховує всі вразливості, які використав будь-який реальний зловмисник для атаки на будь-яку реальну ціль. Чудовий сервіс. І він не просто сповнений експлойтів Windows або Google Chrome. Я думаю, що пересічний спеціаліст із комп’ютерної безпеки був би здивований тим, що в списку. Тут повно пристроїв, патчів мікропрограм, мереж VPN, відеореєстраторів і безлічі речей, які традиційно не вважаються такими, що є націленими на хакерів».
Час виправляти та стежити за компромісами
Для нещодавно використаної помилки PAN-OS доступні виправлення в таких версіях:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- І всі пізніші версії PAN-OS для брандмауерів серії PA, серії VM і серії CN.
Щоб визначити, чи збиток уже завдано, «організації повинні переконатися, що у них є рішення, здатні кількісно оцінити вплив кіберризиків на бізнес на економічний вплив», — написав Олаес.
Він додав: «Це також допоможе їм визначити та визначити пріоритетність найбільш критичних загроз на основі розміру фінансового впливу, серед іншого аналізу ризиків, наприклад оцінки ризику на основі ризику. Вони також повинні підвищити зрілість своїх програм управління вразливістю, щоб гарантувати, що вони можуть швидко виявити, чи впливає на них уразливість чи ні, і наскільки терміново її виправляти».
Граймс зазначає, що було б також гарною ідеєю підписатися на електронні листи CISA KEV.
«Якщо ви підписалися, ви щонайменше щотижня, якщо не частіше, отримуватимете електронний лист із інформацією про те, які вразливості використовувалися останнім часом», — каже він. «Це не лише проблема Palo Alto Networks. Ніякої натяжки уяви».
