聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是一个URL 过滤策略配置不当漏洞,可导致未认证远程攻击者执行放大的TCP 拒绝服务攻击。受影响的PAN-OS版本如下:
PAN-OS 10.2.2-h2 以前的版本(补丁可用日期:下周)
PAN-OS 10.1.6-h6以前的版本(补丁可用)
PAN-OS 10.0.11-h1以前的版本(补丁可用日期:下周)
PAN-OS 9.1.14-h4 以前的版本(补丁可用日期:下周)
PAN-OS 9.0.16-h3 以前的版本(补丁可用日期:下周)
PAN-OS 8.1.23-h1以前的版本(补丁可用日期:下周)
攻击者可利用该漏洞使 Palo Alto Networks PAN-OS 设备易受DDoS 攻击,混淆威胁行动者的原始IP并导致修复更加困难。威胁行动者可利用这些攻击执行多种恶意行为如勒索或破坏企业的业务操作。
Palo Alto Networks 公司表示收到报告称其一台设备被用于发动反射性XSS攻击,意味着该漏洞已遭活跃利用。然而,该公司表示漏洞并不影响产品的机密性、完整性或可用性,因此攻击可能性仅限于拒绝服务。
易受攻击的PAN-OS版本在PA系列、VM系列和CN系列设备中运行,但只有满足如下三个条件exploit才会起作用:
1. 防火墙上可使流量从Zone A 传递到Zone B的安全策略中包含一个URL过滤配置,一个或多个类别被拦截。
2. Zone A 的Zone 防护配置中未启用基于数据包的防护措施,包括 (Packet Based Attack Protection > TCP Drop > TCP Syn With Data) 和 (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open)。
3. Zone A的Zone 防护配置中并未启用通过SYN的洪水防护措施(Flood Protection > SYN > Action > SYN Cookie),激活门槛为0个连接。
安全公告指出,第一个防火墙配置不同寻常,通常会导致管理错误,因此易受攻击的端点数量应当是少量的。安全公告指出,“受保护网络请求中的用户请求访问互联网上的危险站点或不允许访问的站点时,就会触发针对指向互联网的流量的URL过滤策略。这种URL过滤不用于ongoing互联网到受保护网络的流量的另外一个方向。该方向的URL过滤不会带来任何好处,因此任何以此为目的的防火墙配置可能是无意的且可视作配置不当。”
虽然配置不当要求远程使用PAN-OS 设备执行RDoS 攻击,但Palo Alto Networks 正在修复该漏洞,阻止其遭远程滥用和内部滥用。由于目前多数PAN-OS版本分支尚未收到任何安全更新,因此建议系统管理员确保至少不满足上述三个前提条件之一。
Palo Alto Networks 公司建议应用基于数据包的攻击防护应变措施缓解该问题,并为此发布详细的技术指南。
https://www.bleepingcomputer.com/news/security/palo-alto-networks-new-pan-os-ddos-flaw-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~