防火牆漏洞使使用者很容易受到黑客的主動攻擊

美國網路安全和基礎設施安全域性（CISA）向公眾和聯邦IT安全團隊發出警告，Palo Alto Networks防火牆軟體容易受到攻擊，並且要求當前應用盡快釋出修復程式。敦促聯邦機構在9月9日前修補該漏洞。

本月早些時候，Palo Alto Networks釋出了高危漏洞（CVE-2022-0028）的修復程式，它說攻擊者一直在試圖利用這個漏洞。該漏洞可被遠端黑客用來進行反射和放大拒絕服務（DoS）攻擊，並且不需要對目標系統進行認證。

Palo Alto Networks堅持認為，該漏洞只能在有限的系統上、在特定的條件下被利用，而且該易受攻擊的系統並不是防火牆配置的一部分。其他任何利用該漏洞的攻擊，要麼還沒有發生，要麼是已經被公開報道了。

受影響的產品和作業系統版本

受影響的產品主要包括那些執行PAN-OS防火牆軟體的產品，包括PA-系列、VM-系列和CN-系列裝置。受攻擊的PAN-OS系統版本包括10.2.2-h2之前的PAN-OS，10.1.6-h6之前的PAN-OS，10.0.11-h1之前的PAN-OS，9.1.14-h4之前的PAN-OS，9.0.16-h3之前的PAN-OS，8.1.23-h1之前的PAN-OS。

根據Palo Alto Networks的公告，PAN-OS 的URL過濾策略的錯誤配置可能會允許網路攻擊者進行反射和放大的TCP拒絕服務（RDoS）攻擊。那些針對攻擊者指定的目標進行的攻擊流量，似乎是來自於Palo Alto Networks PA系列（硬體）、VM系列（虛擬）和CN系列（容器）防火牆。

該公告認為有風險的非標準的配置，一般是防火牆配置了一個URL過濾配置檔案，其中有一個或多個被阻止的流量型別被分配了安全規則，同時其源區有一個向外部開放的網路介面。

研究人員說，這種配置可能是網路管理員無意中造成的。

CISA在KEV目錄中增加了這個漏洞

週一，CISA將Palo Alto Networks的漏洞新增到了其已知已被利用的漏洞目錄列表中。

CISA的已知被利用的漏洞（KEV）目錄是一個精心整理的漏洞列表，這些漏洞大都已在野被利用。同時該機構也強烈建議公共和私營組織密切關注的KEV列表，以便及時對漏洞進行補救，減少被已知威脅者破壞的可能性。

反射式和放大式DoS攻擊

DDoS領域最引人注目的變化之一是攻擊流量峰值的不斷增長。攻擊者通過使用反射/放大技術，利用DNS、NTP、SSDP、CLDAP、Chargen和其他協議的漏洞，最大限度地擴大了他們的攻擊規模。

反射式和放大式拒絕服務攻擊並不新鮮，多年來已逐漸變得非常普遍。

分散式拒絕服務攻擊，通過用大量的流量攻擊域名或特定的應用基礎設施來使網站離線，然後對所有型別的企業造成重大安全挑戰。該攻擊會影響業務收入、客戶服務和基本的業務功能，而且令人擔憂的是，這些攻擊背後的黑客正在提升他們的攻擊殺傷力，並且隨著時間的推移，這些攻擊變得越來越強。

與以前普通的DDoS攻擊不同，反射性和放大的DoS攻擊可以產生更多的破壞性流量。這種型別的攻擊允許者放大他們產生的惡意流量，同時掩蓋攻擊流量的來源。例如，基於HTTP的DDoS攻擊，向目標的伺服器傳送大量的垃圾HTTP請求，佔用資源並攻擊特定的網站或服務。

最近Palo Alto Networks的攻擊被認為是使用了TCP攻擊，即攻擊者向一系列隨機或預選的反射IP地址傳送一個具有欺騙性的SYN資料包，用受害者的IP地址替換原始源IP。反射地址上的服務以SYN-ACK資料包回覆被攻擊的受害者。如果受害者沒有迴應，反射服務將繼續重發SYN-ACK資料包，導致攻擊效果的放大。放大的數量取決於反射服務的SYN-ACK重傳的數量，這可以由攻擊者自己定義。

本文翻譯自：http://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如若轉載，請註明原文地址