聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
該漏洞是一個URL 過濾策略配置不當漏洞,可導致未認證遠程攻擊者執行放大的TCP 拒絕服務攻擊。受影響的PAN-OS版本如下:
PAN-OS 10.2.2-h2 以前的版本(補丁可用日期:下周)
PAN-OS 10.1.6-h6以前的版本(補丁可用)
PAN-OS 10.0.11-h1以前的版本(補丁可用日期:下周)
PAN-OS 9.1.14-h4 以前的版本(補丁可用日期:下周)
PAN-OS 9.0.16-h3 以前的版本(補丁可用日期:下周)
PAN-OS 8.1.23-h1以前的版本(補丁可用日期:下周)
攻擊者可利用該漏洞使 Palo Alto Networks PAN-OS 設備易受DDoS 攻擊,混淆威脅行動者的原始IP並導致修復更加困難。威脅行動者可利用這些攻擊執行多種惡意行為如勒索或破壞企業的業務操作。
Palo Alto Networks 公司表示收到報告稱其一台設備被用於發動反射性XSS攻擊,意味着該漏洞已遭活躍利用。然而,該公司表示漏洞並不影響產品的機密性、完整性或可用性,因此攻擊可能性僅限於拒絕服務。
易受攻擊的PAN-OS版本在PA系列、VM系列和CN系列設備中運行,但只有滿足如下三個條件exploit才會起作用:
1.防火牆上可使流量從Zone A 傳遞到Zone B的安全策略中包含一個URL過濾配置,一個或多個類別被攔截。
2.Zone A 的Zone 防護配置中未啟用基於數據包的防護措施,包括 (Packet Based Attack Protection > TCP Drop > TCP Syn With Data) 和 (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open)。
3.Zone A的Zone 防護配置中並未啟用通過SYN的洪水防護措施(Flood Protection > SYN > Action > SYN Cookie),激活門檻為0個連接。
安全公告指出,第一個防火牆配置不同尋常,通常會導致管理錯誤,因此易受攻擊的端點數量應當是少量的。安全公告指出,「受保護網絡請求中的用戶請求訪問互聯網上的危險站點或不允許訪問的站點時,就會觸發針對指向互聯網的流量的URL過濾策略。這種URL過濾不用於ongoing互聯網到受保護網絡的流量的另外一個方向。該方向的URL過濾不會帶來任何好處,因此任何以此為目的的防火牆配置可能是無意的且可視作配置不當。」
雖然配置不當要求遠程使用PAN-OS 設備執行RDoS 攻擊,但Palo Alto Networks 正在修復該漏洞,阻止其遭遠程濫用和內部濫用。由於目前多數PAN-OS版本分支尚未收到任何安全更新,因此建議系統管理員確保至少不滿足上述三個前提條件之一。
Palo Alto Networks 公司建議應用基於數據包的攻擊防護應變措施緩解該問題,並為此發布詳細的技術指南。
https://www.bleepingcomputer.com/news/security/palo-alto-networks-new-pan-os-ddos-flaw-exploited-in-attacks/
題圖:PexelsLicense
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表