La vulnerabilidad de alta severidad (CVE-2022-0028) en el software de firewall de Palo Alto Networks está siendo activamente explotada por atacantes, lo que llevó a la CISA a emitir una advertencia a las agencias federales y a los equipos de seguridad de TI. La agencia ha instado a las entidades a aplicar las correcciones disponibles antes del 9 de septiembre, destacando la urgencia de la situación. Este llamado a la acción subraya la importancia de la seguridad cibernética en el contexto de la infraestructura crítica y la defensa nacional.

La vulnerabilidad permite a hackers remotos llevar a cabo ataques de denegación de servicio (DoS) reflejados y amplificados sin necesidad de autenticación en los sistemas objetivo. Palo Alto Networks ha lanzado una solución, pero la CISA enfatiza la necesidad de una acción inmediata para mitigar los riesgos asociados con la explotación de esta falla de seguridad. La rápida respuesta es crucial para prevenir interrupciones en los servicios y proteger los datos sensibles.

Los productos afectados incluyen aquellos que ejecutan el software de firewall PAN-OS, incluyendo dispositivos PA-Series, VM-Series y CN-Series. Las versiones de PAN-OS vulnerables a los ataques, con parches disponibles, incluyen versiones anteriores a 10.2.2-h2, 10.1.6-h6, 10.0.11-h1, 9.1.14-h4, 9.0.16-h3 y 8.1.23-h1. La vulnerabilidad se encuentra en configuraciones específicas de filtrado de URL, donde una mala configuración puede permitir ataques de denegación de servicio TCP reflejados y amplificados.

Según el aviso de Palo Alto Networks, la configuración del firewall debe tener un perfil de filtrado de URL con una o más categorías bloqueadas asignadas a una regla de seguridad con una zona de origen que tenga una interfaz de red orientada al exterior. Esta configuración, a menudo no intencionada por el administrador de la red, es el punto de entrada para los ataques.

El lunes, la CISA incluyó la vulnerabilidad de Palo Alto Networks en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). El catálogo KEV es una lista curada de fallas que han sido explotadas en el mundo real, y la agencia recomienda encarecidamente a las organizaciones públicas y privadas que presten especial atención a estas vulnerabilidades para priorizar la remediación y reducir la probabilidad de compromiso por parte de actores de amenazas conocidos.

La inclusión en el KEV destaca la gravedad de la vulnerabilidad y la necesidad de una acción inmediata. La CISA enfatiza la importancia de la gestión proactiva de la seguridad cibernética para proteger la infraestructura crítica y los datos sensibles.

Los ataques de denegación de servicio (DoS) reflejados y amplificados han experimentado un aumento en su frecuencia y sofisticación. Estos ataques aprovechan las vulnerabilidades en protocolos como DNS, NTP y SSDP para maximizar la escala del ataque. A diferencia de los ataques DoS de volumen limitado, los ataques reflejados y amplificados pueden generar volúmenes de tráfico disruptivo mucho mayores.

Un ataque TCP, como el que se cree que se utilizó en el ataque de Palo Alto Networks, implica el envío de un paquete SYN falsificado con la dirección IP de origen reemplazada por la dirección IP de la víctima a una serie de direcciones IP de reflexión. Los servicios en estas direcciones responden con un paquete SYN-ACK a la víctima, amplificando el ataque.

La magnitud de la amplificación en un ataque DoS reflejado y amplificado depende del número de retransmisiones SYN-ACK por parte del servicio de reflexión, que puede ser definido por el atacante. Esto permite a los atacantes magnificar la cantidad de tráfico malicioso generado mientras oscurecen las fuentes del ataque. El impacto de estos ataques puede ser significativo, afectando los ingresos, el servicio al cliente y las funciones comerciales básicas.

La continua evolución de las técnicas de ataque DoS representa un desafío constante para las empresas. La mitigación efectiva requiere una vigilancia constante, la implementación de medidas de seguridad robustas y la respuesta rápida a las amenazas emergentes.