E a CISA está alertando sobre falha PAN-OS DDoS de alta gravidade usada em ataques, via implantação remota de ataques DoS.
Uma vulnerabilidade recente encontrada no PAN-OS da Palo Alto Networks foi adicionada ao catálogo de Vulnerabilidades exploráveis conhecidas da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA).
CISA está alertando sobre falha PAN-OS DDoS de alta gravidade usada em ataques
Sim. A CISA está alertando sobre falha PAN-OS DDoS de alta gravidade usada em ataques. O problema de segurança é um risco de alta gravidade identificado como CVE-2022-0028 que permite que um agente de ameaça remoto implante ataques de negação de serviço (DoS) refletidos e amplificados sem precisar autenticar.
Várias versões do PAN-OS que alimentam os dispositivos PA-Series, VM-Series e CN-Series são vulneráveis ao CVE-2022-0028 e a Palo Alto Networks lançou patches para todos eles.
Embora a exploração da falha possa causar apenas uma condição DoS no dispositivo afetado, ela já foi usada para pelo menos um ataque.
Em um comunicado de segurança em 12 de agosto, a Palo Alto Networks diz que tomou conhecimento do problema depois de receber um alerta sobre uma tentativa de ataque de negação de serviço refletido (RDoS) por meio de um de seus produtos.
De acordo com o fornecedor, um agente de ameaças que explora o problema pode ocultar seu endereço IP original, tornando a correção uma tarefa mais difícil.
A CISA está alertando as agências federais que devem aplicar as correções disponíveis até 9 de setembro e está usando o seguinte resumo para descrevê-las:
“Uma configuração incorreta da política de filtragem de URL PAN-OS da Palo Alto Networks pode permitir que um invasor baseado em rede conduza ataques de negação de serviço TCP (RDoS) refletidos e amplificados.”
Palo Alto Networks que CVE-2022-0028 é explorável apenas sob certas condições, que não fazem parte de uma configuração de firewall comum:
- A política de segurança no firewall que permite que o tráfego passe da Zona A para a Zona B inclui um perfil de filtragem de URL com uma ou mais categorias bloqueadas
- A proteção contra ataques baseada em pacotes não está habilitada em um perfil de proteção de zona para a Zona A, incluindo (Proteção contra ataques baseados em pacotes > TCP Drop > TCP Syn With Data) e (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open )
- A proteção contra inundação por meio de cookies SYN não está habilitada em um perfil de proteção de zona para a Zona A (Proteção contra inundação > SYN > Ação > Cookie SYN) com um limite de ativação de 0 conexões
Se as organizações com dispositivos vulneráveis não puderem aplicar as atualizações mais recentes imediatamente, elas poderão usar o guia a seguir do fornecedor como solução alternativa até que as correções possam ser instaladas.
O catálogo atual de vulnerabilidades exploráveis conhecidas da CISA lista 802 problemas de segurança que organizações de todo o mundo podem usar para melhorar suas defesas.