CISAは、Palo Alto NetworksのPAN-OSが現在攻撃を受けており、できるだけ早くパッチを適用する必要があると警告しています。
Palo Alto Networksのファイアウォール上で動作するソフトウェアが攻撃を受けており、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、公共および連邦のITセキュリティチームに対し、利用可能な修正を適用するよう警告を発出しました。連邦機関には9月9日までにバグの修正を行うよう求められています。
今月初め、Palo Alto Networksは高深刻度のバグ(CVE-2022-0028)に対する修正を発表しました。同社によると、攻撃者がこの脆弱性を悪用しようとしたとのことです。この脆弱性は、リモートのハッカーが認証なしで標的システムに対してリフレクションおよび増幅型のサービス拒否(DoS)攻撃を実行するために利用される可能性があります。
Palo Alto Networksは、この脆弱性が悪用できるのは限られた数のシステムで、特定の条件下のみであり、脆弱なシステムは一般的なファイアウォール構成の一部ではないとしています。このバグを悪用した追加の攻撃は、発生していないか、または公に報告されていません。
影響を受ける製品およびOSバージョン
影響を受ける製品には、PAN-OSファイアウォールソフトウェアを実行しているPAシリーズ、VMシリーズ、CNシリーズのデバイスが含まれます。攻撃に対して脆弱でパッチが提供されているPAN-OSバージョンは、10.2.2-h2未満、10.1.6-h6未満、10.0.11-h1未満、9.1.14-h4未満、9.0.16-h3未満、および8.1.23-h1未満のPAN-OSです。
Palo Alto Networksのアドバイザリによると、「PAN-OSのURLフィルタリングポリシーの誤設定により、ネットワークベースの攻撃者がリフレクションおよび増幅型のTCPサービス拒否(RDoS)攻撃を実行できる可能性があります。このDoS攻撃は、Palo Alto NetworksのPAシリーズ(ハードウェア)、VMシリーズ(仮想)、CNシリーズ(コンテナ)ファイアウォールから、攻撃者が指定した標的に対して発信されたように見えます。」
アドバイザリでは、リスクのある非標準構成について、「ファイアウォール構成において、1つ以上のブロックカテゴリが割り当てられたURLフィルタリングプロファイルが、外部に面したネットワークインターフェイスを持つソースゾーンに割り当てられたセキュリティルールに設定されている必要があります」と説明しています。
この構成はネットワーク管理者の意図しないものである可能性が高いと、アドバイザリは述べています。
CISAがバグをKEVカタログに追加
月曜日、CISAはPalo Alto Networksのバグを既知悪用脆弱性カタログに追加しました。
CISAの既知悪用脆弱性(KEV)カタログは、実際に悪用されたことがある脆弱性の厳選リストです。また、CISAが「強く推奨」する、公共および民間組織が「修正の優先順位付け」を行い、「既知の脅威アクターによる侵害の可能性を低減」するために注視すべきKEVのリストでもあります。
リフレクションおよび増幅型DoS攻撃
DDoSの状況における最も顕著な進化の1つは、ボリューム型攻撃のピーク規模の拡大です。攻撃者は、DNS、NTP、SSDP、CLDAP、Chargenなどのプロトコルの脆弱性を悪用するために、リフレクション/増幅技術を使い続け、攻撃規模を最大化しています。
リフレクションおよび増幅型のサービス拒否攻撃は新しいものではなく、年々一般的になっています。
分散型サービス拒否(DDoS)攻撃は、ドメインや特定のアプリケーションインフラに大量のトラフィックを流し込んでウェブサイトをダウンさせることを目的としており、あらゆる業種の企業にとって大きな課題となり続けています。サービスがダウンすると、収益、顧客サービス、基本的な業務機能に影響が出ます。さらに懸念されるのは、これらの攻撃を仕掛ける悪意のある人物が、時間とともに手法を洗練させ、より成功しやすくなっていることです。
限定的なボリュームのDDoS攻撃とは異なり、リフレクションおよび増幅型のDoS攻撃は、はるかに大量の破壊的なトラフィックを生み出すことができます。このタイプの攻撃では、攻撃者が生成する悪意のあるトラフィックの量を増幅させると同時に、攻撃トラフィックの発信元を隠すことができます。例えば、HTTPベースのDDoS攻撃では、標的のサーバーに不要なHTTPリクエストを送りつけ、リソースを占有し、特定のサイトやサービスの利用者を締め出します。
最近のPalo Alto Networksへの攻撃で使われたと考えられるTCP攻撃は、攻撃者が送信元IPを被害者のIPアドレスに偽装したSYNパケットを、ランダムまたは事前に選択したリフレクションIPアドレスに送信するものです。リフレクションアドレスのサービスは、偽装された攻撃の被害者にSYN-ACKパケットで応答します。被害者が応答しない場合、リフレクションサービスはSYN-ACKパケットの再送を続け、これが増幅につながります。増幅の度合いは、リフレクションサービスによるSYN-ACKの再送回数によって決まり、これは攻撃者が設定できます。
翻訳元: https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/