El software que ejecuta los firewalls de Palo Alto Networks está siendo atacado, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una advertencia a los equipos de seguridad de TI públicos y federales para que apliquen las soluciones disponibles. Se insta a las agencias federales a corregir el error antes del 9 de septiembre.

A principios de este mes, Palo Alto Networks corrigió el error de alta gravedad (CVE-2022-0028) que, según dice, los adversarios intentaron explotar. La falla podría ser utilizada por piratas informáticos remotos para llevar a cabo ataques de denegación de servicio (DoS) reflejados y amplificados sin tener que autenticar los sistemas de destino.

Palo Alto Networks sostiene que la falla solo puede explotarse en un número limitado de sistemas, bajo ciertas condiciones y que los sistemas vulnerables no son parte de una configuración de firewall común. Cualquier ataque adicional que aproveche el error no se ha producido o se ha informado públicamente.

Productos afectados y versiones del sistema operativo

Los productos afectados incluyen aquellos que ejecutan el software de firewall PAN-OS, incluidos los dispositivos de la serie PA, la serie VM y la serie CN. Las versiones de PAN-OS vulnerables a ataques, con parches disponibles, incluyen PAN-OS anteriores a 10.2.2-h2, PAN-OS anteriores a 10.1.6-h6, PAN-OS anteriores a 10.0.11-h1, PAN-OS anteriores a a 9.1.14-h4, PAN-OS antes de 9.0.16-h3 y PAN-OS antes de 8.1.23-h1.

Según la Asesoramiento en redes de Palo Alto; “Una configuración incorrecta de la política de filtrado de URL de PAN-OS podría permitir que un atacante basado en la red realice ataques de denegación de servicio (RDoS) TCP reflejados y amplificados. El ataque DoS parecería originarse en un cortafuegos PA-Series (hardware), VM-Series (virtual) y CN-Series (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante”.

El aviso describe la configuración no estándar en riesgo como "la configuración del firewall debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una regla de seguridad con una zona de origen que tiene una interfaz de red externa".

Es probable que la configuración no sea intencionada por el administrador de la red, según el aviso.

CISA agrega un error al catálogo de KEV

El lunes, CISA agregó el error de Palo Alto Networks a su lista de Catálogo de vulnerabilidades explotadas conocidas.

Las vulnerabilidades explotadas conocidas de CISA (KEV) El catálogo es una lista seleccionada de fallas que se han explotado en la naturaleza. También es una lista de KEV a los que la agencia "recomienda encarecidamente" que las organizaciones públicas y privadas presten mucha atención para "priorizar la remediación" para "reducir la probabilidad de compromiso por parte de actores de amenazas conocidos".

Ataques DoS reflexivos y de amplificación

Una de las evoluciones más notables en el panorama DDoS es el crecimiento del tamaño máximo de los ataques volumétricos. Los atacantes continúan usando técnicas de reflexión/amplificación para explotar vulnerabilidades en DNS, NTP, SSDP, CLDAP, Chargen y otros protocolos para maximizar la escala de sus ataques.

Los ataques de denegación de servicio reflejados y amplificados no son nuevos y se han vuelto cada vez más más común a lo largo de los años.

Los ataques de denegación de servicio distribuidos, empeñados en desconectar los sitios web mediante dominios abrumadores o infraestructura de aplicaciones específicas con flujos de tráfico masivos, continúan representando un gran desafío para las empresas de todos los tipos. Estar fuera de línea afecta los ingresos, el servicio al cliente y las funciones comerciales básicas y, de manera preocupante, los malos actores detrás de estos ataques están perfeccionando sus enfoques para ser cada vez más exitosos con el tiempo.

A diferencia de los ataques DDoS de volumen limitado, los ataques DoS reflexivos y amplificados pueden producir volúmenes mucho más altos de tráfico disruptivo. Este tipo de ataque permite que un adversario magnifique la cantidad de tráfico malicioso que genera mientras oscurece las fuentes del tráfico de ataque. Un ataque DDoS basado en HTTP, por ejemplo, envía solicitudes HTTP no deseadas al servidor de un objetivo, lo que inmoviliza los recursos y bloquea a los usuarios para que no usen un sitio o servicio en particular.

Un ataque TCP, que se cree que se usó en el reciente ataque de Palo Alto Networks, es cuando un atacante envía un paquete SYN falsificado, con la IP de origen original reemplazada por la dirección IP de la víctima, a un rango de direcciones IP de reflexión aleatorias o preseleccionadas. Los servicios en las direcciones de reflexión responden con un paquete SYN-ACK a la víctima del ataque falsificado. Si la víctima no responde, el servicio de reflexión continuará retransmitiendo el paquete SYN-ACK, lo que resultará en una amplificación. La cantidad de amplificación depende de la cantidad de retransmisiones SYN-ACK por parte del servicio de reflexión, que puede definir el atacante.