Posté le août 14, 2022 à 6:36
PALO ALTO NETWORK RÉVÈLE UNE NOUVELLE VULNÉRABILITÉ DDOS PAN-OS EXPLOITÉE DANS DES ATTAQUES
Une vulnérabilité de déni de services de haute gravité sur Palo Alto Network a été exploitée par des acteurs de menaces cherchant à lancer des attaques DDoS.
Le bug, répertorié sous le nom de CVE-2022-0028, a reçu une note de gravité de 8,6 sur 10. Selon le rapport sur la situation, la vulnérabilité affecte le PAN-OS, qui est le système d’exploitation de Palo Alto et est utilisé par les produits matériels de la société.
Grâce à cette faille, un hacker peut utiliser un dispositif PAN-OS de Palo Alto Networks pour des attaques DDoS. Ils peuvent dissimuler l’IP d’origine du hacker et rendre très difficile pour les victimes de remédier à la situation. Les hackers peuvent utiliser ces attaques à des fins malveillantes, notamment pour extorquer des fonds ou perturber les activités commerciales de la victime.
Selon Palo Alto Networks, la vulnérabilité a été découverte après que l’entreprise a été informée qu’un des appareils avait été utilisé dans le cadre d’une attaque par déni de service réfléchi (RDoS). Cela signifie que la vulnérabilité est activement utilisée dans des attaques. Mais l’entreprise a noté que CVE-2022-0028 n’affecte pas la confidentialité, la disponibilité ou l’intégrité des produits. Cela signifie que l’attaque est uniquement limitée aux DDoS.
Conditions de réussite de l’exploitation
Les versions PAN-OS de la vulnérabilité s’exécutent dans les appareils CN-Series, VM-Series et PA-Series. Cependant, l’exploitation ne réussit que si certaines conditions sont remplies.
La politique de sécurité du pare-feu qui permet au trafic de passer d’une zone à l’autre comprend un profil de filtrage des URL avec plusieurs catégories bloquées.
Entre la zone A et la zone B, la protection contre les attaques par paquets n’est pas activée dans la première, dont le seuil d’activation est de 0 connexion.
De même, la protection contre les DDoS par cookies SYN n’est pas activée dans un profil de protection de zone pour la zone A. Le rapport note que la configuration initiale du pare-feu n’est pas normale, ce qui entraîne généralement une erreur d’administration. Cela signifie que le nombre de points d’extrémité vulnérables est insignifiant.
La mise à jour de la vulnérabilité a été appliquée
Les politiques de filtrage des URL sont censées être déclenchées lorsqu’un utilisateur au sein d’un réseau protégé demande à visiter des sites interdits ou dangereux sur Internet, selon l’avis.
Ce type de filtrage des URL n’est pas destiné à être utilisé dans d’autres directions pour le trafic qui vient d’Internet vers le réseau protégé. Dans cette direction, le filtrage des URL n’offre aucun avantage. Par conséquent, toute configuration de pare-feu qui le fait est probablement intentionnelle et est considérée comme une mauvaise configuration. La mauvaise configuration nécessite d’être utilisée à distance dans un dispositif PAN-OS pour mener des attaques RDoS. Cependant, Palo Alto Networks a appliqué la mise à jour pour empêcher toute exploitation en interne et à distance.
Bien qu’aucune mise à jour de sécurité ne soit disponible pour la plupart des versions de PAN-OS, il a été conseillé aux administrateurs système de s’assurer qu’au moins une des trois conditions n’est pas remplie. Étant donné que les hackers peuvent exploiter les vulnérabilités lorsque les trois conditions préalables sont remplies, les administrateurs peuvent éviter l’attaque en bloquant une ou plusieurs de ces conditions.
La vulnérabilité est dû à une mauvaise configuration de la politique de filtrage des URL
Le fournisseur a recommandé aux opérateurs d’appliquer une solution de contournement de la protection contre les attaques par paquets pour éviter le problème. Pour aider les administrateurs, le fournisseur a fourni un guide technique composé.
La vulnérabilité est due à une mauvaise configuration de la politique de filtrage des URL qui permet à un acteur malveillant ayant accès à un réseau de mener des attaques par déni de service TCP amplifiées et réfléchies.
Le mois dernier, l’équipe de sécurité de Palo Alto Networks a déclaré que l’utilisation intensive de failles logicielles correspondait au comportement opportuniste des acteurs de menaces. L’équipe de sécurité a fourni un rapport de réponse aux incidents qui donne plusieurs aperçus de l’unité 42 de la réponse aux incidents (RI) étendue de Palo Alto.
Les secteurs de l’immobilier et de la finance sont les plus touchés
L’équipe de sécurité s’est appuyée sur un échantillon de plus de 600 cas de RI de l’unité 42 pour aider les équipes de sécurité et les RSSI à comprendre les risques de sécurité les plus élevés auxquels ils sont confrontés. Le rapport leur permettra également de hiérarchiser leurs ressources afin de minimiser les risques.
Le rapport note que l’immobilier et la finance sont parmi les industries les plus touchées du fait qu’ils ont enregistré le plus grand nombre de demandes de rançon. Le rapport de l’Unit 42 indique que l’immobilier et la finance ont une demande moyenne de près de 5,2 millions de dollars et 8 millions de dollars, respectivement.
Dans l’ensemble, les ransomwares et la compromission d’e-mails professionnels (BEC) se sont avérés être les types d’incidents les plus fréquents auxquels l’équipe d’intervention a répondu au cours de l’année dernière. Selon le rapport, elle a répondu à environ 70 % des cas de réponse aux incidents.
