防火墙漏洞遭在野攻击，触发CISA警告

美国网络安全和基础设施安全局（CISA）发出警告，称Palo Alto Networks的PAN-OS正遭受主动攻击，需要尽快打补丁。

运行Palo Alto Networks防火墙的软件正受到攻击，这促使CISA向公共和联邦IT安全团队发出警告，要求应用可用的修复程序。联邦机构被敦促在9月9日之前修补该漏洞。

本月初，Palo Alto Networks针对一个高危漏洞（CVE-2022-0028）发布了修复程序，该公司称攻击者曾试图利用该漏洞。远程黑客可以利用此漏洞实施反射和放大拒绝服务攻击，而无需对目标系统进行身份验证。

Palo Alto Networks坚持认为，该漏洞只能在有限数量的系统上、在特定条件下被利用，并且易受攻击的系统不属于常见的防火墙配置。利用该漏洞的任何其他攻击要么尚未发生，要么未被公开报道。

受影响的产品和操作系统版本

受影响的产品包括运行PAN-OS防火墙软件的PA系列、VM系列和CN系列设备。易受攻击且已有补丁可用的PAN-OS版本包括：早于10.2.2-h2的PAN-OS、早于10.1.6-h6的PAN-OS、早于10.0.11-h1的PAN-OS、早于9.1.14-h4的PAN-OS、早于9.0.16-h3的PAN-OS以及早于8.1.23-h1的PAN-OS。

根据Palo Alto Networks的公告：“PAN-OS URL过滤策略配置错误可能允许基于网络的攻击者发起反射和放大的TCP拒绝服务攻击。DoS攻击将看似源自Palo Alto Networks的PA系列（硬件）、VM系列（虚拟）和CN系列（容器）防火墙，针对攻击者指定的目标。”

公告描述了存在风险的非标准配置：“防火墙配置必须具有URL过滤配置文件，该配置文件包含一个或多个被阻止的类别，这些类别被分配给安全规则，该安全规则的源区域具有面向外部的网络接口。”

公告称，这种配置可能是网络管理员无意中设置的。

CISA将漏洞添加到KEV目录

周一，CISA将Palo Alto Networks的漏洞添加到其“已知被利用漏洞”目录中。

CISA的“已知被利用漏洞”目录是一个经过筛选的、已在野外被利用的漏洞列表。该机构“强烈建议”公共和私营组织密切关注此列表中的漏洞，以便“优先进行修复”，“降低已知威胁行为者入侵的可能性”。

反射和放大DoS攻击

DDoS领域最显著的发展之一是容量攻击峰值规模的持续增长。攻击者继续利用DNS、NTP、SSDP、CLDAP、Chargen等协议中的漏洞，使用反射/放大技术来最大化攻击规模。

反射和放大拒绝服务攻击并不新鲜，并且多年来已稳步变得更加普遍。

分布式拒绝服务攻击旨在通过巨大的流量淹没域名或特定的应用基础设施来使网站离线，这持续对各种类型的企业构成重大挑战。被迫离线会影响收入、客户服务和基本业务功能——令人担忧的是，这些攻击背后的恶意行为者正在不断完善他们的方法，随着时间的推移变得越来越成功。

与有限流量的DDoS攻击不同，反射和放大DoS攻击可以产生更高容量的破坏性流量。这种类型的攻击允许对手放大他们生成的恶意流量，同时掩盖攻击流量的来源。例如，基于HTTP的DDoS攻击会向目标服务器发送大量垃圾HTTP请求，占用资源并阻止用户使用特定网站或服务。

据信在最近的Palo Alto Networks攻击中使用的TCP攻击是：攻击者发送一个伪造的SYN数据包（源IP被替换为受害者的IP地址）到一系列随机或预选的反射IP地址。反射地址处的服务会向伪造攻击的受害者回复一个SYN-ACK数据包。如果受害者不响应，反射服务将继续重传SYN-ACK数据包，从而导致放大。放大的程度取决于反射服务对SYN-ACK数据包的重传次数，这可以由攻击者定义。