La vulnerabilidad critica en cortafuegos PA-Series, VM-Series y CN-Series de Palo Alto Networks. CVE-2022-0028

CISA advierte que PAN-OS de Palo Alto Networks está bajo un ataque activo y debe ser reparado lo antes posible.

El software que ejecuta los firewalls de Palo Alto Networks está siendo atacado, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una advertencia a los equipos de seguridad de TI públicos y federales para que apliquen las soluciones disponibles. Se insta a las agencias federales a corregir la vulnerabilida antes del 9 de septiembre.

A principios de este mes, Palo Alto Networks corrigió la vulnerabilidad de alta gravedad (CVE-2022-0028) que, según afirma, los adversarios intentaron explotar. La vulnerabilidad podría ser utilizada por hackers para llevar a cabo ataques de denegación de servicio (DoS) reflejados y amplificados sin tener que autenticar los sistemas de destino.

Palo Alto Networks sostiene que la vulnerabilidad solo puede explotarse en un número limitado de sistemas, bajo ciertas condiciones y que los sistemas vulnerables no son parte de una configuración de firewall común. Cualquier ataque adicional que aproveche la vulnerabilidad no se ha producido o se ha informado públicamente.

Productos afectados y versiones del sistema operativo

Los productos afectados incluyen aquellos que ejecutan el software de firewall PAN-OS, incluidos los dispositivos de la serie PA, la serie VM y la serie CN. Las versiones de PAN-OS vulnerables a ataques, con parches disponibles, incluyen PAN-OS anteriores a 10.2.2-h2, PAN-OS anteriores a 10.1.6-h6, PAN-OS anteriores a 10.0.11-h1, PAN-OS anteriores a a 9.1.14-h4, PAN-OS antes de 9.0.16-h3 y PAN-OS antes de 8.1.23-h1.

Según el asesor de Palo Alto Networks ; “Una configuración incorrecta de la política de filtrado de URL de PAN-OS podría permitir que un atacante basado en la red realice ataques de denegación de servicio (RDoS) TCP reflejados y amplificados. El ataque DoS parecería originarse en un cortafuegos PA-Series (hardware), VM-Series (virtual) y CN-Series (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante”.

El aviso describe la configuración no estándar en riesgo como “la configuración del firewall debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una regla de seguridad con una zona de origen que tiene una interfaz de red orientada hacia el exterior”.

Es probable que la configuración no sea intencionada por el administrador de la red, según el aviso.

CISA agrega una vulnerabilidad al catálogo de KEV

El lunes, CISA agregó la vulnerabilidad de Palo Alto Networks a su lista del Catálogo de Vulnerabilidades Explotadas Conocidas .

El Catálogo de Vulnerabilidades Conocidas Explotadas ( KEV ) de CISA es una lista seleccionada de vulnerabilidades que han sido explotadas en la naturaleza. También es una lista de KEV a los que la agencia “recomienda encarecidamente” que las organizaciones públicas y privadas presten mucha atención para “priorizar la remediación” para “reducir la probabilidad de compromiso por parte de actores de amenazas conocidos”.

Ataques DoS reflexivos y de amplificación

Una de las evoluciones más notables en el panorama DDoS es el crecimiento del tamaño máximo de los ataques volumétricos. Los atacantes continúan usando técnicas de reflexión/amplificación para explotar vulnerabilidades en DNS, NTP, SSDP, CLDAP, Chargen y otros protocolos para maximizar la escala de sus ataques.

Los ataques de denegación de servicio reflejados y amplificados no son nuevos y se han vuelto cada vez más comunes a lo largo de los años .

Los ataques de denegación de servicio distribuidos, empeñados en desconectar los sitios web mediante dominios abrumadores o infraestructura de aplicaciones específicas con flujos de tráfico masivos, continúan representando un gran desafío para las empresas de todos los tipos. Estar fuera de línea afecta los ingresos, el servicio al cliente y las funciones comerciales básicas y, de manera preocupante, los malos actores detrás de estos ataques están perfeccionando sus enfoques para ser cada vez más exitosos con el tiempo.

A diferencia de los ataques DDoS de volumen limitado, los ataques DoS reflexivos y amplificados pueden producir volúmenes mucho más altos de tráfico disruptivo. Este tipo de ataque permite que un adversario magnifique la cantidad de tráfico malicioso que genera mientras oscurece las fuentes del tráfico de ataque. Un ataque DDoS basado en HTTP, por ejemplo, envía solicitudes HTTP no deseadas al servidor de un objetivo, lo que inmoviliza los recursos y bloquea a los usuarios para que no usen un sitio o servicio en particular.

Un ataque TCP, que se cree que se usó en el reciente ataque de Palo Alto Networks, es cuando un atacante envía un paquete SYN falsificado, con la IP de origen original reemplazada por la dirección IP de la víctima, a un rango de direcciones IP de reflexión aleatorias o preseleccionadas. Los servicios en las direcciones de reflexión responden con un paquete SYN-ACK a la víctima del ataque falsificado. Si la víctima no responde, el servicio de reflexión continuará retransmitiendo el paquete SYN-ACK, lo que resultará en una amplificación. La cantidad de amplificación depende de la cantidad de retransmisiones SYN-ACK por parte del servicio de reflexión, que puede definir el atacante.