PAN-OS çalıştıran Palo Alto Networks cihazlarında (CVE-2022-0028), CVSS puanı 8,6 olarak izlenen yüksek önem düzeyine sahip bir sorun, bir saldırganın Hizmet Reddi (DoS) saldırısı başlatmasına izin verebilir.
Sorun, saldırgan tarafından belirtilen bir hedefe karşı Palo Alto Networks PA Serisi (donanım), VM Serisi (sanal) ve CN Serisi (konteyner) güvenlik duvarından kaynaklanmaktadır. PAN-OS URL filtreleme ilkesinde, ağ tabanlı bir saldırganın Yansıtılmış ve Güçlendirilmiş TCP DoS saldırılarını gerçekleştirmesine izin veren bir yanlış yapılandırma vardı.
“Bu sorun istismar edilirse ürünlerimizin gizliliğini, bütünlüğünü veya kullanılabilirliğini etkilemez. Ancak, sonuçta ortaya çıkan hizmet reddi (DoS) saldırısı, saldırganın kimliğinin gizlenmesine ve güvenlik duvarını saldırının kaynağı olarak göstermesine yardımcı olabilir”, diye yazıyor Palo Alto Networks tarafından yayınlanan danışma belgesi.
ürün durumu
| VERSİYONLAR | ETKİLENİYOR | ETKİLENMEYEN |
| Bulut NGFW | Hiçbiri | Herşey |
| PAN-OS 10.2 | < 10.2.2-h2 | >= 10.2.2-h2 (ETA: 15 Ağustos 2022 haftası) |
| PAN-OS 10.1 | < 10.1.6-h6 | >= 10.1.6-h6 |
| PAN-OS 10.0 | < 10.0.11-h1 | >= 10.0.11-h1 (ETA: 15 Ağustos 2022 haftası) |
| PAN-OS 9.1 | < 9.1.14-h4 | >= 9.1.14-h4 (ETA: 15 Ağustos 2022 haftası) |
| PAN-OS 9.0 | < 9.0.16-h3 | >= 9.0.16-h3 (ETA: 15 Ağustos 2022 haftası) |
| PAN-OS 8.1 | < 8.1.23-h1 | >= 8.1.23-h1 (ETA: 15 Ağustos 2022) |
| Prizma Erişimi 3.1 | Hiçbiri | Herşey |
| Prizma Erişimi 3.0 | Hiçbiri | Herşey |
| Prizma Erişimi 2.2 | Hiçbiri | Herşey |
| Prizma Erişimi 2.1 | Hiçbiri | Herşey |
Yazılım Güncellemesi Mevcut
Palo Alto Networks, PAN-OS güvenlik duvarı yapılandırmalarındaki bir güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı. Şirket, bu ilke yapılandırmasıyla belirli Palo Alto Networks güvenlik duvarlarında bu sorundan kaynaklanan hizmet reddi (DoS) saldırılarını önlemek için geçici çözümler belirledi.
Bu sorun, PA-Serisi, VM-Serisi ve CN-Serisi güvenlik duvarları için PAN-OS 10.1.6-h6 ve sonraki tüm PAN-OS sürümlerinde giderilmiştir. Şirket, bu sorun için tüm PAN-OS yazılım güncellemelerini en geç 15 Ağustos 2022 haftasında yayınlamayı planlıyor.
Azaltma
Tüm kaynaklardan bu sorundan kaynaklanan hizmet reddi (DoS) saldırılarını önlemek için, Palo Alto Networks güvenlik duvarlarınızı, aşağıdakileri içeren atanmış bir Güvenlik ilkesiyle tüm Güvenlik bölgelerinde iki bölgeli koruma azaltmalarından birini etkinleştirerek yapılandırmanız önerilir. bir URL filtreleme profili:
- Paket Tabanlı Saldırı Koruması (Paket Tabanlı Saldırı Koruması > TCP Düşürme > Verili TCP SYN) ve (Paket Tabanlı Saldırı Koruması > TCP Düşürme > TCP’yi Şeritleme > TCP Hızlı Aç);
(Veya) 2. Aktivasyon eşiği 0 bağlantı olan sel koruması (Sel Koruması > SYN > Eylem > SYN Tanımlama Bilgisi).
Ayrıca, Kurumsal Ağınızın Güvenliğini Sağlamak için Ücretsiz Kontrol Listesini Buradan İndirin.