O software de segurança da Palo Alto Networks está sendo alvo de ataques, o que levou a Agência de Segurança Cibersegurança e Infraestrutura dos EUA (CISA) a emitir um alerta às equipes de segurança de TI públicas e federais para instalarem as correções disponíveis. As agências federais solicitaram que o problema seja corrigido até o dia 9 de setembro.
No começo deste mês, a empresa Palo Alto Networks lançou uma atualização para corrigir uma vulnerabilidade crítica (CVE-2022-0028) que foi alvo de tentativas de exploração por parte de invasores. Essa falha poderia ser explorada por hackers remotos para realizar ataques de negação de serviço (DoS) refletidos e amplificados sem a necessidade de autenticar os sistemas-alvo.
A empresa Palo Alto Networks afirma que a vulnerabilidade só pode ser aproveitada em poucos sistemas específicos, em situações particulares, e que os sistemas vulneráveis não estão presentes em configurações comuns de firewall. Até o momento, não houve relatos públicos de ataques adicionais explorando essa falha.
Itens impactados e diferentes edições do sistema operacional.
Os produtos impactados são aqueles que operam o software de firewall PAN-OS, como os dispositivos PA-Series, VM-Series e CN-Series. As versões do PAN-OS vulneráveis ao ataque, mas com correções disponíveis, são anteriores a 10.2.2-h2, 10.1.6-h6, 10.0.11-h1, 9.1.14-h4, 9.0.16-h3 e 8.1.23-h1.
Conforme informado pela assessoria da Palo Alto Networks, uma configuração inadequada da política de filtragem de URL no PAN-OS poderia possibilitar a um atacante baseado em rede realizar ataques de negação de serviço TCP (RDoS). Esse tipo de ataque de DoS seria originado de um firewall Palo Alto Networks da série PA (hardware), VM-Series (virtual) ou CN-Series (container) contra um alvo específico escolhido pelo atacante.
O consultivo alerta sobre a possibilidade de vulnerabilidade decorrente de uma configuração de firewall não convencional, em que o filtro de URL deve ser personalizado com categorias bloqueadas, associadas a uma regra de segurança específica, e com a origem de uma zona que possua uma interface de rede externa.
O conselheiro afirmou que a configuração provavelmente não foi feita de forma intencional pelo administrador de rede.
CISA inclui falha no catálogo KEV.
Na lista do Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA, o bug da Palo Alto Networks foi incluído na segunda-feira.
O catálogo KEV da CISA é uma compilação de vulnerabilidades exploradas na prática, recomendadas para organizações públicas e privadas priorizarem a correção, visando diminuir o risco de serem comprometidas por ameaças conhecidas.
Reflexão e Aumento de Ataques de Negação de Serviço (DoS)
Uma das mudanças mais significativas na cena de ataques DDoS é o aumento no tamanho máximo dos ataques volumétricos. Os criminosos ainda utilizam métodos de reflexão/amplificação para tirar proveito de falhas em diversos protocolos, como DNS, NTP, SSDP, CLDAP, Chargen, entre outros, a fim de ampliar a magnitude de seus ataques.
Os ataques de negação de serviço refletidos e ampliados, que se tornaram mais frequentes com o passar dos anos, não são uma novidade.
A recusa generalizada de ataques de serviço, que consiste em tirar sites do ar por meio de domínios esmagadores ou infraestrutura de aplicação específica com grandes volumes de tráfego, continua a ser um grande desafio para empresas de todos os tamanhos. A queda do site impacta a receita, o atendimento ao cliente e as funções essenciais do negócio – e de forma preocupante, os responsáveis por esses ataques estão aprimorando suas estratégias para obter cada vez mais sucesso com o passar do tempo.
Diferentemente dos ataques de DDoS de baixo volume, os ataques de DoS reflexivos e amplificados têm a capacidade de gerar volumes muito maiores de tráfego disruptivo. Esse tipo de ataque possibilita que um adversário aumente a quantidade de tráfego malicioso gerado, ao mesmo tempo em que oculta as fontes desse tráfego de ataque. Por exemplo, um ataque DDoS baseado em HTTP consiste no envio de solicitações HTTP inválidas para um servidor de destino, sobrecarregando recursos e impedindo que usuários utilizem um site ou serviço específico.
Uma técnica de ataque TCP utilizada no recente incidente da Palo Alto Networks envolve o envio de um pacote SYN falsificado, no qual o endereço IP de origem é substituído pelo endereço IP da vítima, para vários endereços IP de reflexão, escolhidos aleatoriamente ou de forma pré-determinada. Os serviços nos endereços de reflexão respondem com um pacote SYN-ACK à vítima do ataque falsificado. Caso a vítima não responda, o serviço de reflexão continuará retransmitindo o pacote SYN-ACK, resultando em amplificação. A quantidade de amplificação depende do número de retransmissões do SYN-ACK feitas pelo serviço de reflexão, que pode ser configurado pelo atacante.
Divulgue este artigo.
- Fraquezas ou fragilidades.
- Proteção na Internet
