CISA advierte que el PAN-OS de Palo Alto Networks está bajo ataque activo y necesita ser parcheado lo antes posible.
El software que ejecuta los cortafuegos de Palo Alto Networks está siendo atacado, lo que ha llevado a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) a emitir una advertencia a los equipos de seguridad informática públicos y federales para que apliquen las correcciones disponibles. Se insta a las agencias federales a parchear el fallo antes del 9 de septiembre.
A principios de este mes, Palo Alto Networks publicó una solución para el fallo de alta gravedad (CVE-2022-0028) que, según afirma, los adversarios intentaron aprovechar. El fallo podría ser utilizado por hackers remotos para llevar a cabo ataques de denegación de servicio (DoS) reflejados y amplificados sin tener que autenticar los sistemas objetivo.
Palo Alto Networks sostiene que el fallo sólo puede explotarse en un número limitado de sistemas, bajo ciertas condiciones y que los sistemas vulnerables no forman parte de una configuración común de cortafuegos. Cualquier otro ataque que explote el fallo no se ha producido ni se ha comunicado públicamente.
Productos y versiones de sistemas operativos afectados
Los productos afectados son los que ejecutan el software de cortafuegos PAN-OS, entre los que se encuentran los dispositivos PA-Series, VM-Series y CN-Series. Las versiones de PAN-OS vulnerables al ataque, con parches disponibles, incluyen PAN-OS anterior a 10.2.2-h2, PAN-OS anterior a 10.1.6-h6, PAN-OS anterior a 10.0.11-h1, PAN-OS anterior a 9.1.14-h4, PAN-OS anterior a 9.0.16-h3 y PAN-OS anterior a 8.1.23-h1.
Según el aviso de Palo Alto Networks; «Una mala configuración de la política de filtrado de URL de PAN-OS podría permitir a un atacante basado en la red realizar ataques de denegación de servicio TCP reflejados y amplificados (RDoS). El ataque de denegación de servicio parecería originarse desde un firewall de la serie PA (hardware), la serie VM (virtual) y la serie CN (contenedor) de Palo Alto Networks contra un objetivo especificado por el atacante».
El aviso describe la configuración no estándar en riesgo como «la configuración del firewall debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una regla de seguridad con una zona de origen que tiene una interfaz de red orientada al exterior».
La configuración es probablemente no intencionada por el administrador de la red, dijo el aviso.
CISA añade un error al catálogo de KEV
El lunes, CISA añadió el fallo de Palo Alto Networks a su lista de Catálogo de Vulnerabilidades Conocidas Explotadas.
El Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA es una lista curada de fallas que han sido explotadas en la naturaleza. También es una lista de KEVs que la agencia «recomienda encarecidamente» que las organizaciones públicas y privadas presten atención a fin de «priorizar la remediación» para «reducir la probabilidad de compromiso por parte de actores de amenazas conocidas.»
Ataques DoS de reflexión y amplificación
Una de las evoluciones más notables en el panorama de los DDoS es el crecimiento del tamaño máximo de los ataques volumétricos. Los atacantes siguen utilizando técnicas de reflexión/amplificación para explotar las vulnerabilidades en DNS, NTP, SSDP, CLDAP, Chargen y otros protocolos para maximizar la escala de sus ataques.
Los ataques de denegación de servicio reflejados y amplificados no son nuevos y se han vuelto cada vez más comunes a lo largo de los años.
Los ataques de denegación de servicio distribuidos, empeñados en dejar fuera de servicio a los sitios web abrumando los dominios o la infraestructura de aplicaciones específicas con flujos de tráfico masivos, siguen suponiendo un gran reto para las empresas de todo tipo. La desconexión afecta a los ingresos, al servicio al cliente y a las funciones básicas de la empresa y, lo que es más preocupante, los malos actores que están detrás de estos ataques están perfeccionando sus enfoques para tener cada vez más éxito.
A diferencia de los ataques DDoS de volumen limitado, los ataques DoS reflexivos y amplificados pueden producir volúmenes mucho mayores de tráfico perturbador. Este tipo de ataque permite al adversario magnificar la cantidad de tráfico malicioso que genera, al tiempo que oculta las fuentes del tráfico de ataque. Un ataque DDoS basado en HTTP, por ejemplo, envía peticiones HTTP no deseadas al servidor de un objetivo, atrayendo recursos y bloqueando a los usuarios para que no puedan utilizar un sitio o servicio concreto.
Un ataque TCP, que se cree que se utilizó en el reciente ataque de Palo Alto Networks, consiste en que un atacante envía un paquete SYN falsificado, con la IP de origen original sustituida por la dirección IP de la víctima, a una serie de direcciones IP de reflexión aleatorias o preseleccionadas. Los servicios en las direcciones de reflexión responden con un paquete SYN-ACK a la víctima del ataque falsificado. Si la víctima no responde, el servicio de reflexión continuará retransmitiendo el paquete SYN-ACK, dando lugar a la amplificación. La cantidad de amplificación depende del número de retransmisiones SYN-ACK por parte del servicio de reflexión, que puede ser definido por el atacante.