Palo Alto防火牆RDoS漏洞已遭駭客企圖開採

Palo Alto Networks上周（8月11日）公布設備作業系統軟體上一個可能被用以發動反射式放大DoS攻擊漏洞，表示會在本周一（8/15）前更新所有受影響產品，因為網路上已經有企圖開採的活動跡象。

近日一家服務供應商發現，有駭客試圖在網路上反射與放大TCP阻斷服務（Reflected Amplification Denial-of-Service, RDoS）攻擊，駭客使用了多種防火牆設備，包括Palo Alto的設備，促使該公司進行調查及修補漏洞。

這項漏洞編號CVE-2022-0028，是出於設備底層作業系統PAN-OS的URL過濾（URL Filtering）的政策配置不當，造成對網路送入的呼叫訊息量未能有效控管，可讓攻擊者發送惡意呼叫，導致RDoS攻擊。本漏洞風險值8.6。

Palo Alto Network強調用戶成為受害者的機會不太高，因為受影響的防火牆設備必須在安全規則中的URL過濾資料設定（profile）中，要有1個以上的封鎖類別，而且來源區（source zone）要面向外部網路。該公司表示這類並非一般常見的URL過濾設定，也不太可能管理員會沒發現。

廠商指出，一旦真的發生攻擊，不會影響Palo Alto產品的安全性、完整或可用性，但是駭客會藉此隱藏來源，冒充是由Palo Alto對受害目標發動攻擊。

這項漏洞影響PAN-OS 8.1、9.0、9.1、10.0和10.1、10.2以前版本，包括PA系列設備、VM系列（虛擬）或CN系列（容器式）防火牆，以及Cloud NGFW、Prisma Access，但不影響Panorama M系列或Panorama虛擬機器。

Palo Alto表示已經著手修補PAN-OS上的漏洞，預計會在周一（8/15）之前釋出所有軟體更新。雲端防火牆服務，包括Cloud NGFA及Prisma Access上的問題則已經解決，用戶無需做任何動作。

在此之前，為防範DoS攻擊，廠商也提供了包含URL過濾的2種安全政策設定提供暫時保護。