内容摘要：美国网络安全和基础设施安全局CISA）向公众和联邦IT安全团队发出警告，Palo Alto Networks防火墙软件容易受到攻击，并且要求当前应用尽快发布修复程序。敦促联邦机构在9月9日前修补该漏洞

美国网络安全和基础设施安全局（CISA）向公众和联邦IT安全团队发出警告，防火Palo Alto Networks防火墙软件容易受到攻击 ，墙漏并且要求当前应用尽快发布修复程序。洞使的主动攻敦促联邦机构在9月9日前修补该漏洞。用户

本月早些时候，容易Palo Alto Networks发布了高危漏洞（CVE-2022-0028）的黑客修复程序，它说攻击者一直在试图利用这个漏洞。防火该漏洞可被远程黑客用来进行反射和放大拒绝服务（DoS）攻击，墙漏并且不需要对目标系统进行认证。洞使的主动攻

Palo Alto Networks坚持认为  ，用户该漏洞只能在有限的容易系统上、在特定的黑客条件下被利用 ，源码下载而且该易受攻击的防火系统并不是防火墙配置的一部分
。其他任何利用该漏洞的墙漏攻击，要么还没有发生，洞使的主动攻要么是已经被公开报道了
。

受影响的产品和操作系统版本

受影响的产品主要包括那些运行PAN-OS防火墙软件的产品
，包括PA-系列
、VM-系列和CN-系列设备。免费模板受攻击的PAN-OS系统版本包括10.2.2-h2之前的PAN-OS ，10.1.6-h6之前的PAN-OS
，10.0.11-h1之前的PAN-OS ，9.1.14-h4之前的PAN-OS ，9.0.16-h3之前的PAN-OS
，8.1.23-h1之前的PAN-OS。

根据Palo Alto Networks的公告 ，PAN-OS 的建站模板URL过滤策略的错误配置可能会允许网络攻击者进行反射和放大的TCP拒绝服务（RDoS）攻击。那些针对攻击者指定的目标进行的攻击流量，似乎是来自于Palo Alto Networks PA系列（硬件）、VM系列（虚拟）和CN系列（容器）防火墙 。

该公告认为有风险的非标准的配置 ，一般是防火墙配置了一个URL过滤配置文件，其中有一个或多个被阻止的流量类型被分配了安全规则，香港云服务器同时其源区有一个向外部开放的网络接口
。

研究人员说，这种配置可能是网络管理员无意中造成的。

CISA在KEV目录中增加了这个漏洞

周一，CISA将Palo Alto Networks的漏洞添加到了其已知已被利用的漏洞目录列表中 。

CISA的已知被利用的漏洞（KEV）目录是一个精心整理的漏洞列表
，这些漏洞大都已在野被利用  。云计算同时该机构也强烈建议公共和私营组织密切关注的KEV列表，以便及时对漏洞进行补救 ，减少被已知威胁者破坏的可能性 。

反射式和放大式DoS攻击

DDoS领域最引人注目的变化之一是攻击流量峰值的不断增长。攻击者通过使用反射/放大技术，利用DNS、NTP 、SSDP、CLDAP、Chargen和其他协议的漏洞，模板下载最大限度地扩大了他们的攻击规模。

反射式和放大式拒绝服务攻击并不新鲜 ，多年来已逐渐变得非常普遍。

分布式拒绝服务攻击，通过用大量的流量攻击域名或特定的应用基础设施来使网站离线，然后对所有类型的企业造成重大安全挑战 。该攻击会影响业务收入 、客户服务和基本的业务功能 ，而且令人担忧的是，这些攻击背后的黑客正在提升他们的攻击杀伤力 ，并且随着时间的推移
，这些攻击变得越来越强。

与以前普通的DDoS攻击不同
，反射性和放大的DoS攻击可以产生更多的破坏性流量。这种类型的攻击允许者放大他们产生的恶意流量 ，同时掩盖攻击流量的来源。例如，基于HTTP的DDoS攻击，向目标的服务器发送大量的垃圾HTTP请求 ，占用资源并攻击特定的网站或服务 。

最近Palo Alto Networks的攻击被认为是使用了TCP攻击 ，即攻击者向一系列随机或预选的反射IP地址发送一个具有欺骗性的SYN数据包，用受害者的IP地址替换原始源IP。反射地址上的服务以SYN-ACK数据包回复被攻击的受害者。如果受害者没有回应 ，反射服务将继续重发SYN-ACK数据包 ，导致攻击效果的放大 
。放大的数量取决于反射服务的SYN-ACK重传的数量，这可以由攻击者自己定义 。

本文翻译自
：https://threatpost.com/firewall-bug-under-active-attack-cisa-warning/180467/如若转载
，请注明原文地址。