美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）向公眾和聯(lián)邦I(lǐng)T安全團隊發(fā)出警告，Palo Alto Networks防火墻軟件容易受到攻擊，并且要求當(dāng)前應(yīng)用盡快發(fā)布修復(fù)程序。敦促聯(lián)邦機構(gòu)在9月9日前修補該漏洞。

本月早些時候，Palo Alto Networks發(fā)布了高危漏洞（CVE-2022-0028）的修復(fù)程序，它說攻擊者一直在試圖利用這個漏洞。該漏洞可被遠(yuǎn)程黑客用來進行反射和放大拒絕服務(wù)（DoS）攻擊，并且不需要對目標(biāo)系統(tǒng)進行認(rèn)證。

Palo Alto Networks堅持認(rèn)為，該漏洞只能在有限的系統(tǒng)上、在特定的條件下被利用，而且該易受攻擊的系統(tǒng)并不是防火墻配置的一部分。其他任何利用該漏洞的攻擊，要么還沒有發(fā)生，要么是已經(jīng)被公開報道了。

受影響的產(chǎn)品和操作系統(tǒng)版本

受影響的產(chǎn)品主要包括那些運行PAN-OS防火墻軟件的產(chǎn)品，包括PA-系列、VM-系列和CN-系列設(shè)備。受攻擊的PAN-OS系統(tǒng)版本包括10.2.2-h2之前的PAN-OS，10.1.6-h6之前的PAN-OS，10.0.11-h1之前的PAN-OS，9.1.14-h4之前的PAN-OS，9.0.16-h3之前的PAN-OS，8.1.23-h1之前的PAN-OS。

根據(jù)Palo Alto Networks的公告，PAN-OS 的URL過濾策略的錯誤配置可能會允許網(wǎng)絡(luò)攻擊者進行反射和放大的TCP拒絕服務(wù)（RDoS）攻擊。那些針對攻擊者指定的目標(biāo)進行的攻擊流量，似乎是來自于Palo Alto Networks PA系列（硬件）、VM系列（虛擬）和CN系列（容器）防火墻。

該公告認(rèn)為有風(fēng)險的非標(biāo)準(zhǔn)的配置，一般是防火墻配置了一個URL過濾配置文件，其中有一個或多個被阻止的流量類型被分配了安全規(guī)則，同時其源區(qū)有一個向外部開放的網(wǎng)絡(luò)接口。

研究人員說，這種配置可能是網(wǎng)絡(luò)管理員無意中造成的。

CISA在KEV目錄中增加了這個漏洞

周一，CISA將Palo Alto Networks的漏洞添加到了其已知已被利用的漏洞目錄列表中。

CISA的已知被利用的漏洞（KEV）目錄是一個精心整理的漏洞列表，這些漏洞大都已在野被利用。同時該機構(gòu)也強烈建議公共和私營組織密切關(guān)注的KEV列表，以便及時對漏洞進行補救，減少被已知威脅者破壞的可能性。

反射式和放大式DoS攻擊

DDoS領(lǐng)域最引人注目的變化之一是攻擊流量峰值的不斷增長。攻擊者通過使用反射/放大技術(shù)，利用DNS、NTP、SSDP、CLDAP、Chargen和其他協(xié)議的漏洞，最大限度地擴大了他們的攻擊規(guī)模。

反射式和放大式拒絕服務(wù)攻擊并不新鮮，多年來已逐漸變得非常普遍。

分布式拒絕服務(wù)攻擊，通過用大量的流量攻擊域名或特定的應(yīng)用基礎(chǔ)設(shè)施來使網(wǎng)站離線，然后對所有類型的企業(yè)造成重大安全挑戰(zhàn)。該攻擊會影響業(yè)務(wù)收入、客戶服務(wù)和基本的業(yè)務(wù)功能，而且令人擔(dān)憂的是，這些攻擊背后的黑客正在提升他們的攻擊殺傷力，并且隨著時間的推移，這些攻擊變得越來越強。

與以前普通的DDoS攻擊不同，反射性和放大的DoS攻擊可以產(chǎn)生更多的破壞性流量。這種類型的攻擊允許者放大他們產(chǎn)生的惡意流量，同時掩蓋攻擊流量的來源。例如，基于HTTP的DDoS攻擊，向目標(biāo)的服務(wù)器發(fā)送大量的垃圾HTTP請求，占用資源并攻擊特定的網(wǎng)站或服務(wù)。

最近Palo Alto Networks的攻擊被認(rèn)為是使用了TCP攻擊，即攻擊者向一系列隨機或預(yù)選的反射IP地址發(fā)送一個具有欺騙性的SYN數(shù)據(jù)包，用受害者的IP地址替換原始源IP。反射地址上的服務(wù)以SYN-ACK數(shù)據(jù)包回復(fù)被攻擊的受害者。如果受害者沒有回應(yīng)，反射服務(wù)將繼續(xù)重發(fā)SYN-ACK數(shù)據(jù)包，導(dǎo)致攻擊效果的放大。放大的數(shù)量取決于反射服務(wù)的SYN-ACK重傳的數(shù)量，這可以由攻擊者自己定義。

本文翻譯自：https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如若轉(zhuǎn)載，請注明原文地址。