美国网络保障、基石设施保障局〔CISA〕向公众、联邦IT保障团队发出警告,Palo Alto Networks防火墙软件容易受到攻击,同时要求当前应用尽快发布修复程序,敦促联邦机构在9月9日前修补该漏洞,
本月早些时候,Palo Alto Networks发布高危漏洞〔CVE-2022-0028〕修复程序,它说攻击者一直在试图利用这個漏洞,该漏洞可被远程黑客用来实行反射、放大拒绝服务〔DoS〕攻击,同时不须要对意向系统实行认证,
Palo Alto Networks坚持感觉,该漏洞只能在有限系统上、在特定条件下被利用,况且该易受攻击系统并非防火墙配置一一部分,其他任何利用该漏洞攻击,要么还没有发生,要么是已经被公开报道,
受影响产品、操作系统版本
受影响产品最先选涵盖那些运行PAN-OS防火墙软件产品,涵盖PA-系列、VM-系列、CN-系列设备,受攻击PAN-OS系统版本涵盖10.2.2-h2之前PAN-OS,10.1.6-h6之前PAN-OS,10.0.11-h1之前PAN-OS,9.1.14-h4之前PAN-OS,9.0.16-h3之前PAN-OS,8.1.23-h1之前PAN-OS,
根据Palo Alto Networks公告,PAN-OS URL过滤策略错误配置大概会允许网络攻击者实行反射、放大TCP拒绝服务〔RDoS〕攻击,那些针对攻击者指定意向实行攻击流量,似乎是来自于Palo Alto Networks PA系列〔硬件〕、VM系列〔虚拟〕、CN系列〔容器〕防火墙,
该公告感觉有风险非准则配置,一般是防火墙配置一個URL过滤配置文件,其中有一個或多個被阻止流量类型被分配保障规则,同时其源区有一個向外部开放网络接口,
研究人员说,这种配置大概是网络管理员无意中造成,
CISA在KEV目录中增加这個漏洞
周一,CISA将Palo Alto Networks漏洞添加到其已知已被利用漏洞目录列表中,
CISA已知被利用漏洞〔KEV〕目录是一個精心整理漏洞列表,这些漏洞大都已在野被利用,同时该机构也强烈主张公共、私营组织密切FollowKEV列表,以便火速对漏洞实行补救,减少被已知威胁者破坏大概性,
反射式、放大式DoS攻击
DDoS领域最引人注目更迭之一是攻击流量峰值连续增长,攻击者经由运用反射/放大技术,利用DNS、NTP、SSDP、CLDAP、Chargen、其他协议漏洞,最大限度地扩大他们攻击规模,
反射式、放大式拒绝服务攻击并非新鲜,多年来已逐渐变得非常普遍,
分布式拒绝服务攻击,经由用大量流量攻击域名或特定应用基石设施来使网站离线,而后对所有类型企业造成重大保障挑战,该攻击会影响业务进账、客户服务、基本业务功能,况且让人担忧是,这些攻击背后黑客正在提升他们攻击杀伤力,同时伴随时间推移,这些攻击变得越来越强,
与以前普通DDoS攻击不同样,反射性、放大DoS攻击可以引发更多破坏性流量,这种类型攻击允许者放大他们引发恶意流量,同时掩盖攻击流量来源,比方说,根据HTTPDDoS攻击,向意向服务器发送大量垃圾HTTP请求,占用资源并攻击特定网站或服务,
最近Palo Alto Networks攻击被感觉是运用TCP攻击,就攻击者向一系列随机或预选反射IP地址发送一個具有欺骗性SYN数据包,用受害者IP地址替换原始源IP,反射地址上服务以SYN-ACK数据包回复被攻击受害者,倘若受害者没有回应,反射服务将继续重发SYN-ACK数据包,导致攻击疗效放大,放大数量取决于反射服务SYN-ACK重传数量,这可以由攻击者自己定义。
参考及来源:https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/