(https://i.imgur.com/UHnHzQJ.png)
Palo Alto Networks ha emitido una advertencia de seguridad sobre una vulnerabilidad de alta gravedad explotada activamente que afecta a PAN-OS, el sistema operativo utilizado por los productos de hardware de red de la empresa.
El problema, rastreado como CVE-2022-0028 (CVSS v3 – 8.6), es una configuración incorrecta de la política de filtrado de URL que podría permitir que un atacante remoto no autenticado lleve a cabo ataques de denegación de servicio (DoS) TCP amplificados.
Las versiones de PAN-OS vulnerables a esta vulnerabilidad son las siguientes:
PAN-OS antes de 10.2.2-h2 (parche ETA: la próxima semana)
PAN-OS anterior a 10.1.6-h6 (parche disponible)
PAN-OS antes de 10.0.11-h1 (parche ETA: la próxima semana)
PAN-OS antes de 9.1.14-h4 (parche ETA: la próxima semana)
PAN-OS antes de 9.0.16-h3 (parche ETA: la próxima semana)
PAN-OS antes de 8.1.23-h1 (parche ETA: la próxima semana)
Usando la vulnerabilidad, un pirata informático podría utilizar un dispositivo PAN-OS de Palo Alto Networks para ataques DDoS, ofuscando la IP original del actor de la amenaza y haciendo que la remediación sea más desafiante. Los actores de amenazas podrían usar estos ataques para diversos comportamientos maliciosos, como la extorsión o para interrumpir las operaciones comerciales de una empresa.
Palo Alto Networks afirma que descubrieron esta vulnerabilidad después de que se les notificó que uno de sus dispositivos se estaba utilizando como parte de un intento de ataque de denegación de servicio reflejado (RDoS), lo que significa que el error se usa activamente en los ataques.
Sin embargo, el proveedor afirma que CVE-2022-0028 no afecta la confidencialidad, integridad o disponibilidad de los productos, por lo que el potencial de ataque se limita a DoS.
Requisitos previos de vulnerabilidadLas versiones vulnerables de PAN-OS se ejecutan dentro de dispositivos PA-Series, VM-Series y CN-Series, pero el exploit solo funciona cuando se aplican las siguientes tres condiciones:
1. La política de seguridad en el firewall que permite que el tráfico pase de la Zona A a la Zona B incluye un perfil de filtrado de URL con una o más categorías bloqueadas.
2. La protección contra ataques basada en paquetes no está habilitada en un perfil de Protección de zona para la Zona A, incluidos ambos (Protección contra ataques basada en paquetes > Descarte de TCP > Sincronización de TCP con datos) y (Protección contra ataques basada en paquetes > Descarte de TCP > Eliminar opciones de TCP > Apertura rápida de TCP ).
3. La protección contra inundaciones a través de cookies SYN no está habilitada en un perfil de Protección de zona para la Zona A (Protección contra inundaciones > SYN > Acción > Cookie SYN) con un umbral de activación de 0 conexiones.
Como comenta el aviso de seguridad, la primera configuración del cortafuegos es inusual y, por lo general, se debe a un error de administración, por lo que la cantidad de puntos finales vulnerables debería ser pequeña.
"Las políticas de filtrado de URL están destinadas a activarse cuando un usuario dentro de una red protegida solicita visitar sitios peligrosos o no permitidos en Internet en el tráfico destinado a Internet", explica el aviso.
"Tal filtrado de URL no está destinado a usarse en la otra dirección para el tráfico que proviene de Internet a la red protegida".
"El filtrado de URL en esa dirección no ofrece beneficios. Por lo tanto, cualquier configuración de firewall que esté haciendo esto probablemente no sea intencional y se considere una configuración incorrecta".
Si bien se requiere una configuración incorrecta para usar de forma remota un dispositivo PAN-OS para realizar ataques RDoS, Palo Alto Networks está solucionando el error para evitar que se abuse tanto de forma remota como interna.
Dado que una actualización de seguridad no está disponible para la mayoría de las sucursales de la versión PAN-OS, se recomienda a los administradores del sistema que se aseguren de que no se cumpla al menos uno de los tres requisitos previos.
El proveedor recomienda aplicar una solución alternativa de protección contra ataques basada en paquetes para mitigar el problema, para lo cual tienen una guía técnica detallada.
Fuente: https://www.bleepingcomputer.com