Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้โจมตีต้องปฏิบัติตามเงื่อนไขบางอย่างโดยเฉพาะ เช่น มีการตั้งค่าฟีเจอร์ URL Filtering หรือ Packet-based attack protection ที่ผิดปกติ

แนวทางการป้องกัน

ผู้ใช้งานสามารถลบ Policy ที่ทำให้เกิดช่องโหว่ ตัวอย่างเช่น Policy ที่ Source Zone มีการใช้งาน Interface ภายนอก (External Interface) และใน Policy นั้นมีการเปิดใช้งานฟีเจอร์ URL Filtering อยู่ และใน URL Filtering นั้นจำเป็นจะต้องมี Category ที่เป็น Block อย่างน้อย 1 ชนิดขึ้นไป
ไม่ควรเปิดใช้งานโหมด Packet-based attack protection และ Flood Protection พร้อมกัน
อัพเดทแพตช์ จาก PAN-OS 10.1 เป็น 10.1.6-h6
ส่วนแพตช์สำหรับ PAN-OS 8.1, 9.0, 9.1, 10.0 และ 10.2 นั้นคาดว่าจะปล่อยออกมาในช่วงวันที่ 15 สิงหาคม 2022

ที่มา : securityweek.