美國網絡安全和基礎設施安全局（CISA）向公眾和聯邦IT安全團隊發(fā)出警告，Palo Alto Networks防火墻軟件容易受到攻擊，并且要求當前應用盡快發(fā)布修復程序。敦促聯邦機構在9月9日前修補該漏洞。

本月早些時候，Palo Alto Networks發(fā)布了高危漏洞（CVE-2022-0028）的修復程序，它說攻擊者一直在試圖利用這個漏洞。該漏洞可被遠程黑客用來進行反射和放大拒絕服務（DoS）攻擊，并且不需要對目標系統(tǒng)進行認證。

Palo Alto Networks堅持認為，該漏洞只能在有限的系統(tǒng)上、在特定的條件下被利用，而且該易受攻擊的系統(tǒng)并不是防火墻配置的一部分。其他任何利用該漏洞的攻擊，要么還沒有發(fā)生，要么是已經被公開報道了。

受影響的產品和操作系統(tǒng)版本

受影響的產品主要包括那些運行PAN-OS防火墻軟件的產品，包括PA-系列、VM-系列和CN-系列設備。受攻擊的PAN-OS系統(tǒng)版本包括10.2.2-h2之前的PAN-OS，10.1.6-h6之前的PAN-OS，10.0.11-h1之前的PAN-OS，9.1.14-h4之前的PAN-OS，9.0.16-h3之前的PAN-OS，8.1.23-h1之前的PAN-OS。

根據Palo Alto Networks的公告，PAN-OS 的URL過濾策略的錯誤配置可能會允許網絡攻擊者進行反射和放大的TCP拒絕服務（RDoS）攻擊。那些針對攻擊者指定的目標進行的攻擊流量，似乎是來自于Palo Alto Networks PA系列（硬件）、VM系列（虛擬）和CN系列（容器）防火墻。

該公告認為有風險的非標準的配置，一般是防火墻配置了一個URL過濾配置文件，其中有一個或多個被阻止的流量類型被分配了安全規(guī)則，同時其源區(qū)有一個向外部開放的網絡接口。

研究人員說，這種配置可能是網絡管理員無意中造成的。

CISA在KEV目錄中增加了這個漏洞

周一，CISA將Palo Alto Networks的漏洞添加到了其已知已被利用的漏洞目錄列表中。

CISA的已知被利用的漏洞（KEV）目錄是一個精心整理的漏洞列表，這些漏洞大都已在野被利用。同時該機構也強烈建議公共和私營組織密切關注的KEV列表，以便及時對漏洞進行補救，減少被已知威脅者破壞的可能性。

反射式和放大式DoS攻擊

DDoS領域最引人注目的變化之一是攻擊流量峰值的不斷增長。攻擊者通過使用反射/放大技術，利用DNS、NTP、SSDP、CLDAP、Chargen和其他協(xié)議的漏洞，最大限度地擴大了他們的攻擊規(guī)模。

反射式和放大式拒絕服務攻擊并不新鮮，多年來已逐漸變得非常普遍。

分布式拒絕服務攻擊，通過用大量的流量攻擊域名或特定的應用基礎設施來使網站離線，然后對所有類型的企業(yè)造成重大安全挑戰(zhàn)。該攻擊會影響業(yè)務收入、客戶服務和基本的業(yè)務功能，而且令人擔憂的是，這些攻擊背后的黑客正在提升他們的攻擊殺傷力，并且隨著時間的推移，這些攻擊變得越來越強。

與以前普通的DDoS攻擊不同，反射性和放大的DoS攻擊可以產生更多的破壞性流量。這種類型的攻擊允許者放大他們產生的惡意流量，同時掩蓋攻擊流量的來源。例如，基于HTTP的DDoS攻擊，向目標的服務器發(fā)送大量的垃圾HTTP請求，占用資源并攻擊特定的網站或服務。

最近Palo Alto Networks的攻擊被認為是使用了TCP攻擊，即攻擊者向一系列隨機或預選的反射IP地址發(fā)送一個具有欺騙性的SYN數據包，用受害者的IP地址替換原始源IP。反射地址上的服務以SYN-ACK數據包回復被攻擊的受害者。如果受害者沒有回應，反射服務將繼續(xù)重發(fā)SYN-ACK數據包，導致攻擊效果的放大。放大的數量取決于反射服務的SYN-ACK重傳的數量，這可以由攻擊者自己定義。

本文翻譯自：https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如若轉載，請注明原文地址。