Home > Security Bulletins > PAN-OS Reflected Denial-of-Service Kwetsbaarheid in URL Filtering

PAN-OS Reflected Denial-of-Service Kwetsbaarheid in URL Filtering

Door atypische configuraties in de PAN-OS URL filtering kunnen aanvallers gereflecteerde en versterkte DoS-aanvallen uitvoeren.

Inleiding

Palo Alto Networks heeft een beveiligingsadvies uitgegeven waarin een High severity denial-of-service-kwetsbaarheid wordt beschreven in PAN-OS URL-filtering. CVE-2022-0028 (CVSS 3.1: 8.6).

Reflected Denial-of-Service vervalst het IP-adres van de aanvaller en gebruikt andere infrastructuur om verkeer naar het doelwit te sturen. De PAN-OS-kwetsbaarheid is afhankelijk van een firewallconfiguratie waarbij het URL-filterprofiel met een of meer geblokkeerde categorieën is toegewezen aan een security policy met een bronzone met een externe gerichte netwerkinterface. Dit is een atypische configuratie, maar we hebben deze configuratie reeds een aantal keer gezien.

Deze kwetsbaarheid vermomt de aanvaller, waardoor het lijkt alsof het verkeer afkomstig is van een PAN-firewall.

Detectie

Als je Tenable.io of Nessus hebt, heb je een eenvoudige manier om te detecteren of je een getroffen versie van PAN-OS hebt. Tenable heeft op 11 augustus 2022 een plug-in uitgebracht om kwetsbare versies te detecteren.

The firewall configuration must have a URL filtering profile with one or more blocked categories assigned to a security rule with a source zone that has an external facing interface for this issue to be misused by an external attacker. This configuration is not typical for URL filtering and is likely unintended by the administrator.

This issue is applicable to PA-Series (hardware), VM-Series (virtual), and CN-Series (container) firewalls only when all three of the following conditions are true:

1. The security policy on the firewall that allows traffic to pass from Zone A to Zone B includes a URL filtering profile with one or more blocked categories;

AND

2. Packet-based attack protection is not enabled in a Zone Protection profile for Zone A including both (Packet Based Attack Protection > TCP Drop > TCP Syn With Data) and (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open);

AND

3. Flood protection through SYN cookies is not enabled in a Zone Protection profile for Zone A (Flood Protection > SYN > Action > SYN Cookie) with an activation threshold of 0 connections.

Beperkende maatregelen en tijdelijke oplossingen

Palo Alto Networks heeft al updates uitgebracht voor PAN-OS 8.1+. Cloud NGFW’s en Prisma Access zijn niet kwetsbaar.

Als u een URL-filtering policing hebt met een of meer geblokkeerde categorieën die zijn toegewezen aan een security policy met een bronzone met een extern gerichte interface, zal het verwijderen van deze configuratie voorkomen dat dit probleem door externe aanvallers wordt misbruikt om gereflecteerde DoS uit te voeren.

Om de denial-of-service (DoS)-aanvallen als gevolg van dit probleem te voorkomen, kunt u uw Palo Alto Networks-firewalls configureren door een van de twee zone protection profielen in te schakelen voor alle beveiligingszones met een toegewezen beveiligingsbeleid dat een URL-filtering profiel bevat :

1. Packet-based attack protection including both (Packet Based Attack Protection > TCP Drop > TCP SYN with Data) and (Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open);

OR

2. Flood protection (Flood Protection > SYN > Action > SYN Cookie) with an activation threshold of 0 connections.

OPMERKINGEN:

Het is niet nodig om zowel de attack en de flood protection toe te passen.

(Alleen Palo Alto Networks Aporeto-software) U mag geen van deze policies gebuiken als u Aporeto-software gebruikt; wacht in plaats daarvan op een een nieuwe versie waarin deze kwetsbaarheid niet meer aanwezig is.

Tijdelijke workaround voor packet-based protection

Volg de technische documentatie om packet-based attack protection te configureren voor alle gedefinieerde beveiligingszones met een ingeschakelde URL-Filtering op de security policy voor deze zone

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os -admin/zone-protection-and-dos-protection/configure-zone-protection-to-increase-network-security/configure-packet-based-attack-protection

De op pakketten gebaseerde oplossing voorkomt dat de firewall TCP-sessies tot stand brengt in getroffen zones wanneer het TCP SYN-pakket gegevens bevat in de three-way handshake voor een TCP-sessie. Houd er rekening mee dat deze tijdelijke oplossing toepassingen die TCP Fast Open gebruiken in de zone kan verstoren.

Flood Protection (alternatieve) tijdelijke oplossing

Als u in plaats daarvan besluit om de tijdelijke oplossing voor flood protection, moet u eerst begrijpen hoe het gebruiken van SYN-cookies de verkeersstroom in de getroffen zones zal veranderen:

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/zone-protection-and-dos-protection/zone-defense/zone-protection-profiles/flood-protection;

Betreffende producten

Versions Affected Unaffected
Cloud NGFW None All
PAN-OS 10.2 < 10.2.2-h2 >= 10.2.2-h2
PAN-OS 10.1 < 10.1.6-h6 >= 10.1.6-h6
PAN-OS 10.0 < 10.0.11-h1 >= 10.0.11-h1
PAN-OS 9.1 < 9.1.14-h4 >= 9.1.14-h4
PAN-OS 9.0 < 9.0.16-h3 >= 9.0.16-h3
PAN-OS 8.1 < 8.1.23-h1 >= 8.1.23-h1
Prisma Access 3.1 None All
Prisma Access 3.0 None All
Prisma Access 2.2 None All
Prisma Access 2.1 None All