พบช่องโหว่บนแพลตฟอร์ม PAN-OS ของ Palo Alto โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำให้เกิด Amplified DDoS Attack ได้ (อัปเดตข้อมูล)

Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าวจะเกิดขึ้นได้ก็ต่อเมื่อ Palo Alto มี Configuration ในรูปแบบดังนี้

1. มีการตั้งค่าฟีเจอร์ URL Filtering ที่มีการบล็อคอย่างน้อย 1 category กับ source zone ที่มี external facing interface

2. ไม่ได้มีการเปิดการใช้งาน TCP Syn With Data และ TCP Fast Open ใน Packet-based attack protection ใน Zone Protection profile

3. ไม่ได้มีการเปิดการใช้งาน SYN Cookies ด้วยค่า activation threshold = 0 ใน Flood protection ใน Zone Protection profile

(more…)

พบช่องโหว่บนแพลตฟอร์ม PAN-OS ของ Palo Alto ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำให้เกิด DDoS Attack ได้

Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้โจมตีต้องปฏิบัติตามเงื่อนไขบางอย่างโดยเฉพาะ เช่น มีการตั้งค่าฟีเจอร์ URL Filtering หรือ Packet-based attack protection ที่ผิดปกติ

แนวทางการป้องกัน

ผู้ใช้งานสามารถลบ Policy ที่ทำให้เกิดช่องโหว่ ตัวอย่างเช่น Policy ที่ Source Zone มีการใช้งาน Interface ภายนอก (External Interface) และใน Policy นั้นมีการเปิดใช้งานฟีเจอร์ URL Filtering อยู่ และใน URL Filtering นั้นจำเป็นจะต้องมี Category ที่เป็น Block อย่างน้อย 1 ชนิดขึ้นไป
ไม่ควรเปิดใช้งานโหมด Packet-based attack protection และ Flood Protection พร้อมกัน
อัพเดทแพตช์ จาก PAN-OS 10.1 เป็น 10.1.6-h6
ส่วนแพตช์สำหรับ PAN-OS 8.1, 9.0, 9.1, 10.0 และ 10.2 นั้นคาดว่าจะปล่อยออกมาในช่วงวันที่ 15 สิงหาคม 2022

ที่มา : securityweek.