美国网络安全和基础设施安全局(CISA)警告公众和联邦IT安全团队,PaloAltoNetworks防火墙软件存在漏洞,并敦促尽快发布当前应用程序可能的修复。敦促联邦机构在9月9日之前修补该漏洞。本月早些时候,PaloAltoNetworks发布了针对高严重性漏洞(CVE-2022-0028)的修复程序,据称攻击者一直试图利用该漏洞。远程黑客可以利用此漏洞进行不需要目标系统身份验证的反射和放大拒绝服务(DoS)攻击。PaloAltoNetworks坚持认为,该漏洞只能在特定条件下在有限数量的系统上被利用,并且易受攻击的系统不是防火墙配置的一部分。任何其他利用此漏洞的攻击要么尚未发生,要么已被公开报道。受影响的产品和操作系统版本受影响的产品主要包括那些运行PAN-OS防火墙软件的产品,包括PA系列、VM系列和CN系列设备。被攻击的PAN-OS系统版本包括10.2.2-h2之前的PAN-OS、10.1.6-h6之前的PAN-OS、10.0.11-h1之前的PAN-OS、9.1.14-h4之前的PAN-OS、PAN-9.0.16-h3之前的操作系统,8.1.23-h1之前的泛操作系统。根据PaloAltoNetworks的公告,PAN-OS的URL过滤策略配置错误可能允许网络攻击者进行反映和放大的TCP拒绝服务(RDoS)攻击。针对攻击者指定目标的攻击流量似乎来自PaloAltoNetworksPA系列(硬件)、VM系列(虚拟)和CN系列(容器)防火墙。该公告考虑了有风险的非标准配置。防火墙一般配置有URL过滤配置文件,其中对一种或多种被阻断的流量类型分配安全规则,其源区具有对外开放的网络。界面。研究人员表示,这种配置可能是网络管理员无意中创建的。CISA将漏洞添加到KEV目录周一,CISA将PaloAltoNetworks漏洞添加到其已知被利用漏洞目录列表中。CISA的已知已利用漏洞(KEV)目录是一个精选的漏洞列表,其中大部分漏洞已在野外被利用。同时,该机构还强烈建议公共和私人组织密切关注KEV列表,以便及时修复漏洞,降低被已知威胁者入侵的可能性。反射式和放大式DoS攻击DDoS领域最显着的变化之一是攻击流量的激增。攻击者通过使用反射/放大技术利用DNS、NTP、SSDP、CLDAP、Chargen和其他协议中的漏洞来最大化攻击规模。反射式和放大式拒绝服务攻击并不新鲜,多年来已经变得非常普遍。分布式拒绝服务攻击通过用大量流量淹没域名或特定应用程序基础设施来使网站离线,然后对所有类型的企业构成重大安全挑战。这些攻击影响了企业收入、客户服务和基本业务功能,令人担忧的是,这些攻击背后的黑客正在加大攻击力度,并随着时间的推移变得越来越强大。与以前的普通DDoS攻击不同,反射和放大的DoS攻击可以产生更具破坏性的流量。这种类型的攻击允许攻击者放大他们生成的恶意流量,同时掩盖攻击流量的来源。例如,基于HTTP的DDoS攻击向目标服务器发送大量垃圾HTTP请求,占用资源,攻击特定网站或服务。最近的PaloAltoNetworks攻击被认为使用了TCP攻击,攻击者将欺骗性SYN数据包发送到一系列随机或预先选择的反射IP地址,将原始源IP替换为受害者的IP地址。反射地址上的服务使用SYN-ACK数据包回复受攻击的受害者。如果受害者没有响应,反射服务会继续重发SYN-ACK包,导致攻击效果放大。放大量取决于反射服务的SYN-ACK重传次数,可以由攻击者自己定义。本文翻译自:https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如有转载请注明出处。
