一个高度严重的 Palo Alto Networks 拒绝服务 (DoS) 漏洞已被希望发起 DDoS 攻击的不法分子利用,并且一些受影响的产品要到下周才会有补丁。
该漏洞被跟踪为CVE-2022-0028,CVSS 得分为 8.6(满分 10 分),它影响了 Palo Alto Networks 网络安全产品中的操作系统 PAN OS。Panorama M 系列或 Panorama 虚拟设备以及 Palo Alto Networks 已经为基于云的防火墙和 Prisma Access 客户解决了该问题。
此外,Palo Alto Networks 为其 PA 系列(硬件)、VM 系列(虚拟)和 CN 系列(容器)防火墙修补了 PAN-OS 版本 10.1.6-h6 和所有更高版本的 PAN-OS。
我们被告知修复了软件版本 PAN-OS 8.1.23-h1、PAN-OS 9.0.16-h3、PAN-OS 9.1.14-h4、PAN-OS 10.0.11-h1 和 PAN-OS 10.2。 2-h2 将在下周的某个时间,即 8 月 15 日或更晚到达。
根据 Palo Alto Networks 的安全公告,该漏洞是由 URL 过滤策略错误配置引起的,该错误可能允许具有网络访问权限的外部攻击者进行反射和放大的 TCP 拒绝服务攻击。它被利用,攻击似乎源自针对目标的硬件、虚拟或基于容器的防火墙。
该公告称,要利用此漏洞,外部攻击者必须找到具有非典型且可能是意外配置的防火墙。
“防火墙配置必须有一个 URL 过滤配置文件,其中一个或多个被阻止的类别分配给一个安全规则,其源区域具有面向外部的网络接口,”它解释说。
然而,显然,所有的星星都对齐了至少一些想要利用这个漏洞的不法分子。
“Palo Alto Networks 最近获悉,服务提供商发现了一次未遂的反射式拒绝服务 (RDoS) 攻击,”该安全公司警告说。“这次未遂攻击利用了包括 Palo Alto Networks 在内的多家供应商的易受攻击的防火墙。我们立即开始从根本上解决这个问题。”
该漏洞正在被积极利用这一事实不足为奇。根据供应商自己的年度事件响应报告,犯罪分子“在宣布 CVE后 15 分钟内开始扫描漏洞”。
然而,这确实可能意味着安全工程师需要在周末工作。针对 PAN-OS 漏洞 CVE-2022-0028,新的安全公告补充说:“利用此问题不会影响我们产品的机密性、完整性或可用性。”
在等待补丁时,Palo Alto Networks 确实推荐了一些解决方法。
首先,如果您的 URL 过滤策略符合上述条件,请删除此配置,以防止犯罪分子利用该漏洞发动 DoS 攻击。
安全公告还提供了应用基于数据包的攻击保护或洪水保护的说明——但指出“两者都应用没有必要也没有好处”。
但是,Aporeto 软件用户不应启用其中任何一个。相反,请等待固定的 PAN-OS 软件版本。®
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Palo Alto 漏洞用于 DDoS 攻击,目前还没有修复
