CISA发出警告称，Palo Alto Networks的PAN-OS防火墙系统正遭受活跃攻击，要求公共和联邦IT安全团队立即应用补丁。联邦机构被要求在9月9日前修补该漏洞。

本月早些时候，Palo Alto Networks针对这个高危漏洞(CVE-2022-0028)发布了修复程序。远程攻击者可利用该漏洞在无需认证的情况下发起反射放大拒绝服务(DoS)攻击。

受影响的产品包括运行PAN-OS防火墙软件的PA系列、VM系列和CN系列设备。存在漏洞的PAN-OS版本包括：

• PAN-OS 10.2.2-h2之前版本
• PAN-OS 10.1.6-h6之前版本
• PAN-OS 10.0.11-h1之前版本
• PAN-OS 9.1.14-h4之前版本
• PAN-OS 9.0.16-h3之前版本
• PAN-OS 8.1.23-h1之前版本

根据Palo Alto Networks的安全公告：“PAN-OS URL过滤策略配置错误可能允许基于网络的攻击者发起反射放大的TCP拒绝服务(RDoS)攻击。DoS攻击会显示为来自Palo Alto Networks防火墙设备(PA系列硬件、VM系列虚拟设备或CN系列容器防火墙)对攻击者指定目标的攻击。”

CISA已将该漏洞列入已知被利用漏洞(KEV)目录。KEV目录是经过整理的已被野外利用的漏洞列表，CISA"强烈建议"公共和私营机构优先修复这些漏洞。

反射放大DoS攻击分析 反射放大DoS攻击并非新技术，但近年来变得越来越普遍。与普通DDoS攻击不同，这种攻击可以产生更高流量的破坏性数据。

在最近的Palo Alto Networks攻击中，攻击者可能使用了TCP攻击方式：发送伪造的SYN数据包(将原始源IP替换为受害者IP地址)到一系列反射IP地址，导致反射服务持续向受害者重传SYN-ACK数据包，形成放大效应。放大程度取决于反射服务的重传次数，而这可由攻击者定义。