Palo Alto Networks, şirketin ağ donanım ürünleri tarafından kullanılan işletim sistemi olan PAN-OS’u etkileyen, aktif olarak yararlanılan yüksek önemdeki bir güvenlik açığına ilişkin bir güvenlik danışma uyarısı yayınladı.
CVE-2022-0028 (CVSS v3 – 8.6) olarak izlenen sorun, kimliği doğrulanmamış, uzak bir saldırganın güçlendirilmiş TCP hizmet reddi (DoS) saldırıları gerçekleştirmesine izin verebilecek bir URL filtreleme ilkesinin yanlış yapılandırılmasıdır.
Bu güvenlik açığından etkilenen PAN-OS sürümleri şunlardır:
- 10.2.2-h2 öncesi PAN-OS (yama ETA: gelecek hafta)
- 10.1.6-h6’dan önceki PAN-OS (yama mevcut)
- 10.0.11-h1 öncesi PAN-OS (yama ETA: gelecek hafta)
- 9.1.14-h4 öncesi PAN-OS (yama ETA: gelecek hafta)
- 9.0.16-h3 öncesi PAN-OS (yama ETA: gelecek hafta)
- 8.1.23-h1 öncesi PAN-OS (yama ETA: gelecek hafta)
Güvenlik açığından yararlanan bir bilgisayar korsanı, DDoS saldırıları için bir Palo Alto Networks PAN-OS cihazını görevlendirebilir, tehdit aktörünün orijinal IP’sini gizleyebilir ve düzeltmeyi daha zor hale getirebilir. Tehdit aktörleri, bu saldırıları gasp gibi çeşitli kötü niyetli davranışlar için veya bir şirketin ticari operasyonlarını kesintiye uğratmak için kullanabilir.
Palo Alto Networks, cihazlarından birinin yansıyan hizmet reddi (RDoS) girişiminin bir parçası olarak kullanıldığı konusunda bilgilendirildikten sonra bu güvenlik açığını keşfettiklerini, yani hatanın saldırılarda aktif olarak kullanıldığını belirtti.
Ancak satıcı, CVE-2022-0028’in ürünlerin gizliliğini, bütünlüğünü veya kullanılabilirliğini etkilemediğini, dolayısıyla saldırı potansiyelinin DoS ile sınırlı olduğunu belirtiyor.
Güvenlik açığı ön koşulları
Güvenlik açığı bulunan PAN-OS sürümleri, PA-Serisi, VM-Serisi ve CN-Serisi cihazlarda çalışır, ancak istismar yalnızca aşağıdaki üç koşul geçerli olduğunda çalışır:
- Güvenlik duvarındaki trafiğin A Bölgesinden B Bölgesine geçmesine izin veren güvenlik ilkesi, bir veya daha fazla engellenen kategoriye sahip bir URL filtreleme profili içerir.
- Paket tabanlı saldırı koruması, hem (Paket Tabanlı Saldırı Koruması > TCP Bırakma > Verilerle TCP Senkronizasyonu) hem de (Paket Tabanlı Saldırı Koruması > TCP Bırakma > Şerit TCP Seçenekleri > TCP Hızlı Açma dahil olmak üzere, Bölge A için Bölge Koruması profilinde etkinleştirilmemiştir. ).
- SYN tanımlama bilgileri aracılığıyla sel koruması, 0 bağlantı etkinleştirme eşiğine sahip Bölge A (Salgın Koruma > SYN > Eylem > SYN Tanımlama Bilgisi) için Bölge Koruma profilinde etkinleştirilmemiştir.
Güvenlik danışma belgesinin belirttiği gibi, ilk güvenlik duvarı yapılandırması olağandışıdır ve genellikle bir yönetim hatasından kaynaklanır, bu nedenle savunmasız uç noktaların sayısı az olmalıdır.
“URL filtreleme politikaları, korumalı bir ağ içindeki bir kullanıcı, İnternet’e yönlendirilen trafikte İnternet’teki tehlikeli veya izin verilmeyen siteleri ziyaret etmek istediğinde tetiklenmek üzere tasarlanmıştır.” tavsiyeyi açıklar.
“Bu tür URL filtreleme, İnternet’ten korunan ağa gelen trafik için diğer yönde kullanılmamalıdır.”
“Bu yönde URL filtrelemesi hiçbir fayda sağlamaz. Bu nedenle, bunu yapan herhangi bir güvenlik duvarı yapılandırması muhtemelen kasıtsızdır ve yanlış yapılandırma olarak kabul edilir.”
RDoS saldırılarını gerçekleştirmek için bir PAN-OS cihazını uzaktan kullanmak için yanlış yapılandırma gerekli olsa da, Palo Alto Networks, hem uzaktan hem de dahili olarak kötüye kullanılmasını önlemek için hatayı düzeltiyor.
Çoğu PAN-OS sürüm şubesi için bir güvenlik güncellemesi bulunmadığından, sistem yöneticilerinin üç önkoşuldan en az birinin karşılanmadığından emin olmaları önerilir.
Satıcı, sorunu azaltmak için paket tabanlı bir saldırı koruması geçici çözümü uygulamanızı önerir. ayrıntılı teknik kılavuz.