防火牆漏洞使用户很容易受到黑客的主動攻擊

語言: CN / TW / HK

美國網絡安全和基礎設施安全局(CISA)向公眾和聯邦IT安全團隊發出警告,Palo Alto Networks防火牆軟件容易受到攻擊,並且要求當前應用盡快發佈修復程序。敦促聯邦機構在9月9日前修補該漏洞。

本月早些時候,Palo Alto Networks發佈了高危漏洞(CVE-2022-0028)的修復程序,它説攻擊者一直在試圖利用這個漏洞。該漏洞可被遠程黑客用來進行反射和放大拒絕服務(DoS)攻擊,並且不需要對目標系統進行認證。

Palo Alto Networks堅持認為,該漏洞只能在有限的系統上、在特定的條件下被利用,而且該易受攻擊的系統並不是防火牆配置的一部分。其他任何利用該漏洞的攻擊,要麼還沒有發生,要麼是已經被公開報道了。

受影響的產品和操作系統版本

受影響的產品主要包括那些運行PAN-OS防火牆軟件的產品,包括PA-系列、VM-系列和CN-系列設備。受攻擊的PAN-OS系統版本包括10.2.2-h2之前的PAN-OS,10.1.6-h6之前的PAN-OS,10.0.11-h1之前的PAN-OS,9.1.14-h4之前的PAN-OS,9.0.16-h3之前的PAN-OS,8.1.23-h1之前的PAN-OS。

根據Palo Alto Networks的公告,PAN-OS 的URL過濾策略的錯誤配置可能會允許網絡攻擊者進行反射和放大的TCP拒絕服務(RDoS)攻擊。那些針對攻擊者指定的目標進行的攻擊流量,似乎是來自於Palo Alto Networks PA系列(硬件)、VM系列(虛擬)和CN系列(容器)防火牆。

該公告認為有風險的非標準的配置,一般是防火牆配置了一個URL過濾配置文件,其中有一個或多個被阻止的流量類型被分配了安全規則,同時其源區有一個向外部開放的網絡接口。

研究人員説,這種配置可能是網絡管理員無意中造成的。

CISA在KEV目錄中增加了這個漏洞

週一,CISA將Palo Alto Networks的漏洞添加到了其已知已被利用的漏洞目錄列表中。

CISA的已知被利用的漏洞(KEV)目錄是一個精心整理的漏洞列表,這些漏洞大都已在野被利用。同時該機構也強烈建議公共和私營組織密切關注的KEV列表,以便及時對漏洞進行補救,減少被已知威脅者破壞的可能性。

反射式和放大式DoS攻擊

DDoS領域最引人注目的變化之一是攻擊流量峯值的不斷增長。攻擊者通過使用反射/放大技術,利用DNS、NTP、SSDP、CLDAP、Chargen和其他協議的漏洞,最大限度地擴大了他們的攻擊規模。

反射式和放大式拒絕服務攻擊並不新鮮,多年來已逐漸變得非常普遍。

分佈式拒絕服務攻擊,通過用大量的流量攻擊域名或特定的應用基礎設施來使網站離線,然後對所有類型的企業造成重大安全挑戰。該攻擊會影響業務收入、客户服務和基本的業務功能,而且令人擔憂的是,這些攻擊背後的黑客正在提升他們的攻擊殺傷力,並且隨着時間的推移,這些攻擊變得越來越強。

與以前普通的DDoS攻擊不同,反射性和放大的DoS攻擊可以產生更多的破壞性流量。這種類型的攻擊允許者放大他們產生的惡意流量,同時掩蓋攻擊流量的來源。例如,基於HTTP的DDoS攻擊,向目標的服務器發送大量的垃圾HTTP請求,佔用資源並攻擊特定的網站或服務。

最近Palo Alto Networks的攻擊被認為是使用了TCP攻擊,即攻擊者向一系列隨機或預選的反射IP地址發送一個具有欺騙性的SYN數據包,用受害者的IP地址替換原始源IP。反射地址上的服務以SYN-ACK數據包回覆被攻擊的受害者。如果受害者沒有迴應,反射服務將繼續重發SYN-ACK數據包,導致攻擊效果的放大。放大的數量取決於反射服務的SYN-ACK重傳的數量,這可以由攻擊者自己定義。

本文翻譯自:https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如若轉載,請註明原文地址