ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Palo Alto Networks güvenlik duvarlarındaki yüksek önemdeki bir güvenlik açığının vahşi ortamda aktif olarak istismar edildiği konusunda uyarıyor.
Hata (CVE-2022-0028, CVSS önem puanı 8,6), güvenlik duvarlarını çalıştıran PAN-OS işletim sisteminde bulunur ve uzak bir tehdit aktörünün dağıtılmış hizmet reddini dağıtmak için güvenlik duvarlarını kötüye kullanmasına izin verebilir. (DDoS) kendi seçtikleri hedeflere yönelik saldırılar – kimlik doğrulaması yapmak zorunda kalmadan.
Sorunun istismar edilmesi, saldırganların izlerini ve konumlarını gizlemelerine yardımcı olabilir.
Palo Alto Networks tarafından yayınlanan danışma belgesine göre, “DoS saldırısı, saldırgan tarafından belirtilen bir hedefe karşı bir Palo Alto Networks PA Serisi (donanım), VM Serisi (sanal) ve CN Serisi (konteyner) güvenlik duvarından kaynaklanıyor gibi görünüyor” bu aydan daha erken.
CardinalOps siber savunma stratejisi başkan yardımcısı Phil Neray, “İyi haber şu ki, bu güvenlik açığı saldırganlara kurbanın iç ağına erişim sağlamıyor” diyor. “Kötü haber şu ki, iş açısından kritik operasyonları durdurabilir [at other targets] sipariş almak ve müşteri hizmetleri taleplerini ele almak gibi.”
DDoS saldırılarının, genellikle varsayıldığı gibi, yalnızca küçük çaplı baş belası aktörler tarafından gerçekleştirilmediğini belirtiyor: “DDoS, geçmişte APT28 gibi düşman gruplar tarafından Dünya Anti-Doping Ajansı’na karşı kullanıldı.”
Hata, URL filtreleme politikasının yanlış yapılandırılması nedeniyle ortaya çıkar.
Standart olmayan bir yapılandırma kullanan bulut sunucuları risk altındadır; güvenlik duvarı yapılandırmasının, “harici bir ağ arabirimine sahip bir kaynak bölgesine sahip bir güvenlik kuralına atanmış bir veya daha fazla engellenen kategoriye sahip bir URL filtreleme profiline sahip olması gerekir”, tavsiye okuma.
Vahşi Sömürü
Bu açıklamadan iki hafta sonra CISA, böceğin vahşi doğada siber düşmanlar tarafından benimsendiğini gördüğünü ve bunu kendi bünyesine eklediğini söyledi. Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğu. Saldırganlar, DoS taşkınlarının hem yansıtılmış hem de güçlendirilmiş sürümlerini dağıtmak için kusurdan yararlanabilir.
Viakoo CEO’su Bud Broomhead, DDoS saldırılarını desteklemek için hizmete sokulabilecek böceklerin giderek daha fazla talep gördüğünü söylüyor.
“Yansıyan ve güçlendirilmiş saldırıları gerçekleştirmek için bir Palo Alto Networks güvenlik duvarı kullanma yeteneği, büyük DDoS saldırıları oluşturmak için amplifikasyonu kullanma eğiliminin bir parçasıdır” diyor. “Google’ın son zamanlarda, saniyede 46 milyon istekle zirveye ulaşan bir saldırı duyurusu ve diğer rekor kıran DDoS saldırıları, bu düzeyde bir amplifikasyon sağlamak için kullanılabilecek sistemlere daha fazla odaklanacak.”
Silahlanma hızı, siber saldırganların yeni açıklanan güvenlik açıklarını devreye sokmak için giderek daha az zaman ayırma eğilimine de uyuyor – ancak bu aynı zamanda tehdit aktörleri adına daha düşük önemdeki hatalara artan ilgiye de işaret ediyor.
Skybox Security’nin satış mühendisliği direktörü Terry Olaes, e-postayla gönderilen bir bildiride, “Araştırmacılarımız, organizasyonların önce CVSS’ye dayalı olarak en yüksek düzeyde güvenlik açıklarını düzeltmek için harekete geçtiğini çok sık görüyor” dedi. “Siber suçlular, siber güvenliklerini bu kadar çok şirketin idare ettiğini biliyorlar, bu nedenle saldırılarını gerçekleştirmek için daha az kritik olarak görülen güvenlik açıklarından yararlanmayı öğrendiler.”
Ancak, belirli bir ayda açıklanan çok sayıda yama sayesinde yama önceliklendirmesi, her tür ve boyuttaki kuruluş için bir zorluk olmaya devam ediyor – BT ekiplerinin, genellikle çok fazla rehberlik olmadan, önceliklendirmesi ve değerlendirmesi gereken yüzlerce güvenlik açığını içeriyor. üzerinde. Ve ayrıca Skybox Araştırma Laboratuvarı yakın zamanda bulundu Vahşi doğada sömürülmeye devam eden yeni güvenlik açıkları 2022’de %24 arttı.
KnowBe4’te veriye dayalı savunma savunucusu Roger Grimes, Dark Reading’e “CISA’nın sizi uyardığı herhangi bir güvenlik açığı, eğer ortamınızda varsa, şimdi düzeltmeniz gerekiyor” diyor. ” [KEV] gerçek dünyadaki herhangi bir saldırgan tarafından gerçek dünyadaki herhangi bir hedefe saldırmak için kullanılan tüm güvenlik açıklarını listeler. Harika servis. Ve sadece Windows veya Google Chrome istismarlarıyla dolu değil. Ortalama bir bilgisayar güvenlik görevlisinin listede ne olduğuna şaşıracağını düşünüyorum. Cihazlar, donanım yazılımı yamaları, VPN’ler, DVR’ler ve geleneksel olarak bilgisayar korsanları tarafından yüksek oranda hedeflendiği düşünülmeyen bir sürü şeyle dolu.”
Uzlaşma için Yama ve İzleme Zamanı
Yeni yararlanılan PAN-OS hatası için aşağıdaki sürümlerde yamalar mevcuttur:
- PAN-OS 8.1.23-h1
- PAN-OS 9.0.16-h3
- PAN-OS 9.1.14-h4
- PAN-OS 10.0.11-h1
- PAN-OS 10.1.6-h6
- PAN-OS 10.2.2-h2
- Ve PA-Serisi, VM-Serisi ve CN-Serisi güvenlik duvarları için sonraki tüm PAN-OS sürümleri.
Olaes, hasarın halihazırda verilip verilmediğini belirlemek için “kuruluşlar, siber risklerin ticari etkisini ekonomik etki olarak ölçebilecek çözümlere sahip olduklarından emin olmalıdır” diye yazdı.
“Bu aynı zamanda maruziyete dayalı risk puanları gibi diğer risk analizlerinin yanı sıra finansal etkinin boyutuna göre en kritik tehditleri belirlemelerine ve önceliklendirmelerine yardımcı olacak. bir güvenlik açığının onları etkileyip etkilemediğini ve düzeltilmesinin ne kadar acil olduğunu çabucak keşfedebilir.”
Grimes, CISA’nın KEV e-postalarına abone olmanın da iyi bir fikir olduğunu belirtiyor.
“Abone olursanız, en az haftada bir e-posta alacaksınız, daha fazla değilse, en son istismar edilen güvenlik açıklarının neler olduğunu söyleyen bir e-posta alacaksınız” diyor. “Bu sadece bir Palo Alto Networks sorunu değil. Hayal gücümüzün zorlamasıyla değil.”