Palo Alto Networks上周(8月11日)公布设备操作系统软件上一个可能被用以发动反射式放大DoS攻击漏洞,表示会在本周一(8/15)前更新所有受影响产品,因为网络上已经有企图开采的活动迹象。
近日一家服务供应商发现,有黑客试图在网络上反射与放大TCP拒绝服务(Reflected Amplification Denial-of-Service, RDoS)攻击,黑客使用了多种防火墙设备,包括Palo Alto的设备,促使该公司进行调查及修补漏洞。
这项漏洞编号CVE-2022-0028,是出于设备底层操作系统PAN-OS的URL过滤(URL Filtering)的政策配置不当,造成对网络送入的调用消息量未能有效管控,可让攻击者发送恶意调用,导致RDoS攻击。本漏洞风险值8.6。
Palo Alto Network强调用户成为受害者的机会不太高,因为受影响的防火墙设备必须在安全规则中的URL过滤资料设置(profile)中,要有1个以上的封锁类别,而且来源区(source zone)要面向外部网络。该公司表示这类并非一般常见的URL过滤设置,也不太可能管理员会没发现。
厂商指出,一旦真的发生攻击,不会影响Palo Alto产品的安全性、完整或可用性,但是黑客会借此隐藏来源,冒充是由Palo Alto对受害目标发动攻击。
这项漏洞影响PAN-OS 8.1、9.0、9.1、10.0和10.1、10.2以前版本,包括PA系列设备、VM系列(虚拟)或CN系列(容器式)防火墙,以及Cloud NGFW、Prisma Access,但不影响Panorama M系列或Panorama虚拟机。
Palo Alto表示已经着手修补PAN-OS上的漏洞,预计会在周一(8/15)之前发布所有软件更新。云计算防火墙服务,包括Cloud NGFA及Prisma Access上的问题则已经解决,用户无需做任何动作。
在此之前,为防范DoS攻击,厂商也提供了包含URL过滤的2种安全策略设置提供暂时保护。