Palo Alto Networks đưa ra cảnh báo về một lỗ hổng nghiêm trọng bị khai thác trong thực tế, ảnh hưởng đến PAN-OS – Hệ điều hành được sử dụng bởi các sản phẩm phần cứng mạng máy tính.
Lỗ hổng CVE-2022-0028 (CVSS v3 8.6) là lỗi cấu hình sai chính sách lọc URL, cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công từ chối dịch vụ (DoS).
Các phiên bản PAN-OS ảnh hưởng bởi lỗ hổng gồm:
- PAN-OS trước 10.2.2-h2 (bản vá ETA có trong tuần tới)
- PAN-OS trước 10.1.6-h6 (đã có bản vá)
- PAN-OS trước 10.0.11-h1 (bản vá ETA có trong tuần tới)
- PAN-OS trước 9.1.14-h4 (bản vá ETA có trong tuần tới)
- PAN-OS trước 9.0.16-h3 (bản vá ETA có trong tuần tới)
- PAN-OS trước 8.1.23-h1 (bản vá ETA có trong tuần tới)
Từ lỗ hổng này, kẻ xấu có thể sử dụng thiết bị PAN-OS của Palo Alto Networks để thực hiện các cuộc tấn công DDoS, làm xáo trộn IP ban đầu, khiến việc khắc phục trở nên khó khăn hơn. Mục đích của chúng có thể là tống tiền hoặc làm gián đoạn hoạt động kinh doanh.
Palo Alto Networks đã phát hiện ra lỗ hổng này sau khi được thông báo về việc một trong những thiết bị đang bị lạm dụng như một phần của cuộc tấn công từ chối dịch vụ RDoS.
Tuy nhiên, nhà cung cấp cho biết CVE-2022-0028 không ảnh hưởng đến tính an ninh, tính toàn vẹn hoặc tính khả dụng của sản phẩm, do đó, khả năng tấn công giới hạn ở DoS.
Điều kiện khai thác lỗ hổng
Việc khai thác các phiên bản PAN-OS bị ảnh hưởng chạy bên trong các thiết bị PA-Series, VM-Series và CN-Series chỉ xảy ra khi có các điều kiện:
- Chính sách trên tường lửa cho phép lưu lượng truy cập từ Vùng A đến Vùng B bao gồm cấu hình lọc URL với một hoặc nhiều danh mục bị chặn.
- Bảo vệ tấn công dựa trên gói tin không được bật trong cấu hình Zone Protection cho Vùng A, bao gồm cả hai (Packet Based Attack Protection > TCP Drop > TCP Syn With Data) và (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open).
- Tính năng flood protection thông qua các cookie SYN không được bật trong cấu hình Bảo vệ Vùng cho Vùng A (Flood Protection > SYN > Action > SYN Cookie) với ngưỡng kích hoạt kết nối là 0.
Theo nhận xét của chuyên gia an ninh mạng, cấu hình tường lửa ở điều kiện số 1 là không bình thường và thường là do lỗi quản trị, vì vậy số lượng điểm cuối bị ảnh hưởng có thể nhỏ hơn.
Khuyến cáo giải thích:
“Các chính sách lọc URL được kích hoạt khi người dùng bên trong một mạng được bảo vệ yêu cầu truy cập các trang web nguy hiểm hoặc không được phép trên Internet”.
“Lọc URL như vậy không có nghĩa là được sử dụng theo hướng khác cho lưu lượng truy cập từ Internet đến mạng được bảo vệ. Do đó, bất kỳ cấu hình tường lửa nào đang thực hiện việc này đều có thể là do vô tình và được coi là cấu hình sai.”
Lỗi cấu hình sai là điều kiện cần để có thể sử dụng thiết bị PAN-OS từ xa thực hiện các cuộc tấn công RDoS. Palo Alto Networks đang vá lỗi để ngăn chặn bị lạm dụng từ xa và trong nội bộ.
Vì bản cập nhật chưa có cho hầu hết các phiên bản PAN-OS nên quản trị viên hệ thống cần đảm bảo không thỏa mãn ít nhất 1 trong 3 điều kiện. Nhà cung cấp khuyến cáo bạn nên áp dụng giải pháp bảo vệ chống tấn công tại đây để giảm thiểu rủi ro.
Theo Bleeping Computer