A CISA dos Estados Unidos advertiu as equipes de segurança de TI públicas e federais para executar as atualizações apropriadas devido aos riscos de segurança decorrentes dos firewalls da Palo Alto Networks que estão sendo alvo de ataques. Foi solicitado que as correções sejam feitas até 9 de setembro.
No começo deste mês, Palo Alto Networks lançou uma correção para a vulnerabilidade de alto risco (CVE-2022-0028) que informava que os adversários estavam tentando explorar. Esta falha permitiria que os hackers remotos executassem ataques DoS refletidos e amplificados, sem ter que autenticar os sistemas alvos.
A Palo Alto Networks afirma que a falha só é capaz de ser aproveitada em alguns sistemas, sob circunstâncias específicas, e que os sistemas frágeis não são parte de uma configuração normal de firewall. Não há relatos de nenhum outro ataque usando a falha ocorrendo ou divulgado publicamente.
Produtos que foram afetados e as diversas versões de sistema operacional que estão em circulação.
Os itens afetados são os que rodam o programa de firewall PAN-OS, que inclui os produtos PA-Series, VM-Series e CN-Series. As versões PAN-OS suscetíveis ao ataque que têm patches disponíveis são: 10.2.2-h2, 10.1.6-h6, 10.0.11-h1, 9.1.14-h4, 9.0.16-h3 e 8.1.23-h1.
De acordo com a assessoria da Palo Alto Networks; “Uma configuração inadequada do filtro de URL PAN-OS poderia possibilitar que um invasor em rede realizasse ataques de negação de serviço TCP (RDoS). Estes tipos de ataque parecem ter origem em firewalls da série PA (hardware), VM (virtual) e CN (container) da Palo Alto Networks, e tem como alvo uma especificação feita pelo atacante.”
O conselho de especialistas detalha a configuração atípica que pode estar em perigo, pois a configuração do firewall deve incluir um perfil de filtragem de URL com uma ou mais categorias bloqueadas designadas a uma regra de segurança que tem uma interface de rede externa de origem.
O consultor afirmou que a arquitetura provavelmente não foi intencionalmente elaborada pelo administrador de rede.
A CISA (Cybersecurity and Infrastructure Security Agency) incluiu um erro no catálogo KV.
Na segunda-feira, a CISA incluiu o erro na Palo Alto Networks na sua lista de Falhas de Segurança Exploradas Existentes.
O catálogo CISA Known Exploited Vulnerabilities (KEV) é uma lista cuidadosamente selecionada de vulnerabilidades que já foram exploradas na natureza. A agência recomenda firmemente que organizações governamentais e empresariais deem prioridade à correção destas falhas, com o objetivo de reduzir a chance de serem comprometidas por agentes de ameaça já conhecidos.
Refletir e Ampliar Ataques de DoS
Uma das mudanças mais impressionantes na configuração de DDoS é o aumento no tamanho dos ataques volumétricos. Os invasores ainda estão usando táticas de reflexão/amplificação para explorar as fraquezas em DNS, NTP, SSDP, CLDAP, Chargen e outros protocolos para aumentar a magnitude de seus ataques.
Ataques de negação de serviço refletidos e amplificados têm sido um problema crescente nos últimos anos.
Desafios de grandes proporções ainda são enfrentados pelas empresas de todos os tamanhos devido à negação distribuída de ataques de serviço, que têm o potencial de levar sites inteiros off-line, sejam eles controlados por domínios massivos ou infraestruturas de aplicativos que recebem um grande fluxo de tráfego. Os efeitos destes ataques são preocupantes, pois afetam a receita, o atendimento ao cliente e as principais funções de negócios, além de que os maus atores responsáveis por eles cada vez mais se tornam eficientes.
Em oposição a ataques DDoS de tamanho limitado, os ataques DoS reflexivos e amplificados podem gerar uma quantidade muito maior de tráfego prejudicial. Esta forma de ataque permite que o invasor aumente a quantidade de dano que eles podem causar, ao mesmo tempo que esconde as origens do tráfego de ataque. Por exemplo, um ataque DDoS baseado em HTTP envia pedidos inúteis de HTTP a um servidor de destino, que pode impedir que os usuários acessem um determinado serviço ou site.
Uma técnica de ataque TCP, acreditada por ter sido usada na recente violação da Palo Alto Networks, consiste em enviar um pacote SYN falsificado, com a fonte IP original substituída pela do alvo, para diversos endereços IP de reflexão previamente selecionados ou aleatórios. Esses serviços de reflexão respondem com um pacote SYN-ACK para a vítima do ataque falsificado. Se ela não responder, eles continuarão a retransmitir o pacote SYN-ACK, gerando amplificação. A quantidade de amplificação depende do número de vezes que o serviço de reflexão retransmite o pacote SYN-ACK, que pode ser definido pelo atacante.
Edite e compartilhe este artigo.
- Vulnerabilidades de segurança são problemas de segurança que podem ser explorados por indivíduos mal intencionados para afetar o sistema.
- A segurança na Web é um tópico relevante para todos os usuários da Internet. É necessário que todos tomem providências para garantir que seus dados e informações pessoais sejam mantidos em segurança.
