Palo Alto Networks 警告：PAN-OS に DDoS 攻撃参加を許す脆弱性 CVE-2022-0028

Palo Alto Networks: New PAN-OS DDoS flaw exploited in attacks

2022/08/12 BleepingComputer — Palo Alto Networks は、同社のネットワーク・ハードウェア製品で使用されている PAN-OS に存在する、深刻度の高い脆弱性を警告するセキュリティ・アドバイザリを発表した。この脆弱性 CVE-2022-0028 (CVSS v3 : 8.6) は、URL フィルタリング・ポリシーの設定ミスにより、未認証のリモート攻撃者による増幅された TCP サービス拒否 (DoS) 攻撃を許すものとなる。

この脆弱性の影響を受ける PAN-OS のバージョンは、以下の通りとなる。

• PAN-OS prior to 10.2.2-h2 (patch ETA: next week)
• PAN-OS prior to 10.1.6-h6 (patch available)
• PAN-OS prior to 10.0.11-h1 (patch ETA: next week)
• PAN-OS prior to 9.1.14-h4 (patch ETA: next week)
• PAN-OS prior to 9.0.16-h3 (patch ETA: next week)
• PAN-OS prior to 8.1.23-h1 (patch ETA: next week)

この脆弱性の悪用に成功した攻撃者は、Palo Alto Networks の PAN-OS デバイスを DDoS 攻撃に参加させ、脅威アクター IP を難読化し、修復を困難にさせる事が可能となる。脅威者は、これらの攻撃を、恐喝や企業の業務妨害などの、さまざまな悪意の行為に利用する可能性がある。

Palo Alto Networks は、自社のデバイスが反射型サービス妨害 (RDoS) 攻撃の一部として使用されているとの連絡を受け、この脆弱性を発見している。つまり、このバグが積極的に、攻撃に悪用されていることを意味する。

ただし、脆弱性 CVE-2022-0028 は、製品の機密性／完全性／可用性に影響を与えないため、攻撃の可能性は DoS に限定されるとしている。 

脆弱性の前提条件

脆弱性のある PAN-OS のバージョンは、PA-Series／VM-Series／CN-Series の各デバイス内で動作するが、以下の３つの条件に当てはまる場合のみ、エクスプロイトが機能するとしている。

• Zone A から Zone B へのトラフィック通過を許可する、ファイアウォールのセキュリティ ポリシーに、ブロックされたカテゴリを持つ URL フィルタリング・プロファイルが含まれている。
• Zone A の Zone Protection プロファイル (Packet Based Attack Protection > TCP Drop > TCP Syn With Data と Packet Based Attack Protection > TCP Drop > Strip TCP Options > TCP Fast Open) の双方で、パケット・ベースの攻撃保護が有効になっていない。
• Zone A (Flood Protection > SYN > Action > SYN Cookie) の Zone Protection プロファイルで、SYN Cookie によるフラッド保護が、ゼロ接続のアクティブ化しきい値を用いて有効になっていない。

セキュリティ勧告のコメントにあるように、最初のファイアウォール設定は異常であり、通常は管理上のエラーに起因するため、脆弱なエンドポイントの数は少ないはずだ。

この勧告では「URL フィルタリング・ポリシーは、保護されたネットワーク内のユーザーが、インターネットへ向けたトラフィックにより、インターネット上の危険なサイトや、許可されていないサイトの閲覧を、要求したときに発動されることを意図している。このような URL フィルタリングは、インターネットから保護されたネットワークに到着するトラフィックに対して、使用されることは意図されていない。つまり、この方向での URL フィルタリングは、何のメリットもない。したがって、このようなファイアウォールの設定は、意図的でない可能性が高く、設定ミスとみなされる」と説明されている。

PAN-OS デバイスをリモートで使用した RDoS 攻撃を行うには、このような設定ミスが必要になるが、Palo Alto Networks では、リモートと内部の両方で悪用されないよう、このバグを修正するとのことだ。

ほとんどの PAN-OS のバージョン・ブランチでは、このセキュリティ・アップデートが提供されていないため、システム管理者には、３つの前提条件のうち少なくとも１つが、満たされていないことの確認が推奨される。

Palo Alto Networks は、この問題を軽減するために、パケット・ベースの攻撃防御の回避策を適用することを推奨しており、詳細なテクニカルガイドを用意している。

いったい、どれだけの PAN-OS デバイスが、ボットネットに組み入れられていたのかは分かりませんが、この種のデバイスには、潤沢なリソースが割当られているはずなので、その攻撃力も相応のものとなるでしょう。7月14日の「Cloudflare 対 Mantis ボットネット：毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和」には、「Mantis ボットネットは、わずか 5000台のボットを使用して、毎秒2600万回の HTTPS リクエストを発生させることができた。もう一度言う。5,000 個のボットを使って、 1 秒間に 2,600 万回の HTTPS リクエストを発生させることができたのだ。これは、ボット 1 つにつき平均 5,200rps の HTTPS リクエストを生成していることになる」と記されていました。よろしければ、こちらの怒りの記事も、ご参照ください。