CVE-2022-0028

Palo Alto Networks PAN-OS

ВЕРОЯТНОСТЬ 4.7%
Дата обнаружения

2022-08-22

Официальное описание

A Palo Alto Networks PAN-OS URL filtering policy misconfiguration could allow a network-based attacker to conduct reflected and amplified TCP denial-of-service (RDoS) attacks.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-0028 — это уязвимость в механизме фильтрации URL-адресов (URL filtering) в операционной системе PAN-OS. Проблема возникает из-за некорректной конфигурации политик безопасности, которая позволяет использовать межсетевой экран в качестве рефлектора для проведения атак типа «отказ в обслуживании» (DoS) с отражением и усилением трафика (Reflected and Amplified TCP DoS).

Злоумышленник может отправлять специально сформированные TCP-пакеты на устройство Palo Alto Networks. Если на устройстве настроен профиль фильтрации URL-адресов с включенной функцией блокировки (block page) и при этом отсутствуют строгие правила проверки источника трафика, устройство начинает отвечать на поддельный IP-адрес жертвы, многократно усиливая объем трафика и потребляя ресурсы канала связи.

Как исправить

Основным способом устранения уязвимости является обновление PAN-OS до исправленной версии. Palo Alto Networks выпустила патчи для всех поддерживаемых веток системы.

  1. Проверьте текущую версию PAN-OS.
  2. Загрузите и установите соответствующее обновление:
  3. PAN-OS 8.1: обновитесь до 8.1.23-h1 или выше.
  4. PAN-OS 9.0: обновитесь до 9.0.16-h3 или выше.
  5. PAN-OS 9.1: обновитесь до 9.1.14-h4 или выше.
  6. PAN-OS 10.0: обновитесь до 10.0.11-h1 или выше.
  7. PAN-OS 10.1: обновитесь до 10.1.6-h6 или выше.
  8. PAN-OS 10.2: обновитесь до 10.2.2-h2 или выше.

Команда для проверки версии через CLI:

show system info | match sw-version

Команда для загрузки и установки (пример для 10.1.6-h6):

request system software download version 10.1.6-h6
request system software install version 10.1.6-h6
debug software restart process device-server

Временные меры

Если немедленное обновление невозможно, необходимо изменить конфигурацию политик безопасности, чтобы исключить возможность эксплуатации уязвимости.

  1. Включение защиты от спуфинга (Packet Flow Protection): Убедитесь, что в Zone Protection Profile включена функция «Strict Source Routing Check» и настроена защита от подмены IP-адресов.

  2. Удаление URL Filtering из небезопасных правил: Проверьте правила безопасности (Security Policies), которые разрешают трафик из зоны Untrust (Интернет) и имеют привязанный URL Filtering Profile. Если правило позволяет трафик с любого источника (Source: Any), это создает риск.

  3. Настройка Packet Based Attack Protection: Примените профиль защиты зоны (Zone Protection Profile) к интерфейсам, смотрящим в публичные сети, для ограничения аномального TCP-трафика.

Команда для проверки наличия URL Filtering в правилах:

show config running | match "url-filtering"
  1. Ограничение функции Block Page: Если это допустимо, временно отключите отправку страниц блокировки для категорий URL в профилях фильтрации, изменив действие с «block» на «continue» или «override», либо полностью удалив профиль из правил, где источником является весь Интернет.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей