美国网络安全和基础设施安全局 (CISA) 警告说,Palo Alto Networks 防火墙中的一个高严重性安全漏洞正在被广泛利用。
该漏洞(CVE-2022-0028,CVSS 严重性评分为 8.6)存在于运行防火墙的 PAN-OS 操作系统中,并可能允许远程威胁参与者滥用防火墙来部署分布式拒绝服务(DDoS) 攻击他们选择的目标 - 无需进行身份验证。
利用该问题可以帮助攻击者掩盖他们的踪迹和位置。
“DoS 攻击似乎源自 Palo Alto Networks PA 系列(硬件)、VM 系列(虚拟)和 CN 系列(容器)防火墙,针对攻击者指定的目标,”Palo Alto Networks 发布的公告称本月初。
“好消息是,这个漏洞不会让攻击者访问受害者的内部网络,”CardinalOps 网络防御战略副总裁 Phil Neray 说。 “坏消息是,它可能会停止 [在其他目标上] 的关键业务运营,例如接受订单和处理客户服务请求。”
他指出,DDoS 攻击不仅是由小规模的滋扰行为者发起的,正如人们通常假设的那样:“DDoS 过去曾被 APT28 等对手团体用来对付世界反兴奋剂机构。”
该错误是由于 URL 过滤策略配置错误而引起的。
使用非标准配置的实例存在风险; 要被利用,防火墙配置“必须有一个 URL 过滤配置文件,其中一个或多个被阻止的类别分配给一个安全规则,其源区域具有面向外部的网络接口,” 咨询阅读.
在野外被剥削
自那次披露两周后,CISA 表示,它现在已经看到该漏洞被网络对手在野外采用,并将其添加到其 已知利用漏洞 (KEV) 目录. 攻击者可以利用该漏洞部署反射和放大版本的 DoS 洪水。
Viakoo 的首席执行官 Bud Broomhead 表示,越来越需要可以编组为服务以支持 DDoS 攻击的漏洞。
“使用 Palo Alto Networks 防火墙执行反射和放大攻击的能力是使用放大来创建大规模 DDoS 攻击的总体趋势的一部分,”他说。 “谷歌最近宣布的攻击峰值达到每秒 46 万次请求,以及其他破纪录的 DDoS 攻击将更多地关注可以被利用以实现这种放大级别的系统。”
武器化的速度也符合网络攻击者花费越来越少的时间来使新披露的漏洞发挥作用的趋势——但这也表明威胁参与者对不太严重的漏洞越来越感兴趣。
Skybox Security 销售工程总监 Terry Olaes 在一封电子邮件声明中写道:“我们的研究人员经常看到组织首先基于 CVSS 修补最严重的漏洞。” “网络犯罪分子知道这就是有多少公司处理他们的网络安全,所以他们学会了利用被认为不太重要的漏洞来进行攻击。”
但是, 补丁优先级 由于在给定月份披露的补丁数量之多,对各种规模和规模的组织来说仍然是一个挑战——总计 数百个漏洞 IT 团队经常需要对其进行分类和评估 没有太多指导可以继续. 此外,Skybox 研究实验室 最近发现 到 24 年,继续被广泛利用的新漏洞增加了 2022%。
“CISA 警告您的任何漏洞,如果您的环境中有,您需要立即修补,”KnowBe4 的数据驱动防御布道师 Roger Grimes 告诉 Dark Reading。 “[KEV] 列出了任何现实世界的攻击者用来攻击任何现实世界目标的所有漏洞。 很棒的服务。 它不仅充满了 Windows 或 Google Chrome 漏洞利用。 我认为普通的计算机安全人员会对列表中的内容感到惊讶。 它充满了设备、固件补丁、VPN、DVR 以及大量传统上不被认为是黑客高度攻击的东西。”
是时候修补和监控妥协了
对于新利用的 PAN-OS 漏洞,补丁有以下版本:
- 泛 OS 8.1.23-h1
- 泛 OS 9.0.16-h3
- 泛 OS 9.1.14-h4
- 泛 OS 10.0.11-h1
- 泛 OS 10.1.6-h6
- 泛 OS 10.2.2-h2
- 以及适用于 PA 系列、VM 系列和 CN 系列防火墙的所有更高版本的 PAN-OS。
Olaes 写道,为了确定损害是否已经造成,“组织应确保他们有能够将网络风险的业务影响量化为经济影响的解决方案。”
他补充说:“这还将帮助他们根据财务影响的大小以及其他风险分析(例如基于风险的风险评分)来识别和优先考虑最关键的威胁。 他们还必须提高漏洞管理计划的成熟度,以确保他们能够快速发现漏洞是否影响他们以及修复的紧迫性。”
Grimes 指出,订阅 CISA 的 KEV 电子邮件也是一个好主意。
“如果您订阅,您将至少每周收到一封电子邮件,如果不是更多的话,告诉您最新利用的漏洞是什么,”他说。 “这不仅仅是 Palo Alto Networks 的问题。 没有任何想象力。”
