防火墙漏洞遭活跃攻击，CISA紧急发布安全警告

CISA警告称，Palo Alto Networks的PAN-OS正遭受活跃攻击，需要尽快安装补丁。

运行Palo Alto Networks防火墙的软件遭到攻击，促使美国网络安全和基础设施安全局（CISA）向公共和联邦IT安全团队发出警告，要求应用可用修复程序。联邦机构被要求在9月9日前修补该漏洞。

本月早些时候，Palo Alto Networks发布了一个高危漏洞（CVE-2022-0028）的修复程序，该公司表示攻击者曾试图利用该漏洞。远程黑客可利用此漏洞发起反射和放大的拒绝服务（DoS）攻击，而无需对目标系统进行身份验证。

Palo Alto Networks坚持认为，该漏洞只能在有限数量的系统上、在特定条件下被利用，且易受攻击的系统不属于常见防火墙配置的一部分。利用该漏洞的任何其他攻击要么尚未发生，要么尚未公开报道。

受影响的产品和操作系统版本

受影响的产品包括运行PAN-OS防火墙软件的PA系列、VM系列和CN系列设备。易受攻击的PAN-OS版本（已有补丁可用）包括：PAN-OS 10.2.2-h2之前版本、PAN-OS 10.1.6-h6之前版本、PAN-OS 10.0.11-h1之前版本、PAN-OS 9.1.14-h4之前版本、PAN-OS 9.0.16-h3之前版本和PAN-OS 8.1.23-h1之前版本。

根据Palo Alto Networks的公告：“PAN-OS URL过滤策略配置错误可能允许基于网络的攻击者发起反射和放大的TCP拒绝服务（RDoS）攻击。DoS攻击将看似源自Palo Alto Networks PA系列（硬件）、VM系列（虚拟）和CN系列（容器）防火墙，针对攻击者指定的目标。”

公告描述了存在风险的非标准配置：“防火墙配置必须具有URL过滤配置文件，其中包含一个或多个被阻止的类别，分配给安全规则，该规则的源区域具有面向外部的网络接口。”

公告称，网络管理员可能无意中进行了此配置。

CISA将漏洞添加到KEV目录

周一，CISA将Palo Alto Networks的漏洞添加到其已知 exploited 漏洞目录中。

CISA已知 exploited 漏洞（KEV）目录是一个经过筛选的漏洞列表，这些漏洞已在野外被利用。该机构“强烈建议”公共和私人组织密切关注此列表中的KEV，以“优先进行修复”，“减少已知威胁行为者入侵的可能性”。

反射和放大DoS攻击

DDoS领域最显著的发展之一是容量攻击峰值规模的增加。攻击者继续使用反射/放大技术来利用DNS、NTP、SSDP、CLDAP、Chargen和其他协议中的漏洞，以最大化其攻击规模。

反射和放大的拒绝服务攻击并不新鲜，并且多年来稳步变得更加普遍。

分布式拒绝服务攻击旨在通过用大量流量淹没域或特定应用程序基础设施来使网站离线，继续对各种类型的企业构成重大挑战。被迫离线会影响收入、客户服务和基本业务功能——令人担忧的是，这些攻击背后的恶意行为者正在磨练他们的方法，随着时间的推移变得越来越成功。

与有限容量的DDoS攻击不同，反射和放大的DoS攻击可以产生更高容量的破坏性流量。这种类型的攻击允许对手放大他们生成的恶意流量量，同时掩盖攻击流量的来源。例如，基于HTTP的DDoS攻击向目标的服务器发送垃圾HTTP请求，占用资源并阻止用户使用特定站点或服务。

据信在最近的Palo Alto Networks攻击中使用的TCP攻击是攻击者向一系列随机或预选的反射IP地址发送伪造的SYN数据包，其中原始源IP被受害者的IP地址替换。反射地址的服务向伪造攻击的受害者回复SYN-ACK数据包。如果受害者不响应，反射服务将继续重新传输SYN-ACK数据包，导致放大。放大的量取决于反射服务重新传输SYN-ACK的次数，这可以由攻击者定义。