利用防火墙的缺陷用户极易遭受主动的黑客入侵

CISSA 向大众及联邦政府信息技术安全部门发出了警示，Palo Alto Networks防火墙软件容易受到攻击，并且要求当前应用尽快发布修复程序。

受影响的产品主要包括那些运行PAN-OS防火墙软件的产品，包括PA-系列、VM-系列和CN-系列设备。受攻击的PAN-OS系统版本包括10.2.2-h2之前的PAN-OS，10.1.6-h6之前的PAN-OS，10.0.11-h1之前的PAN-OS，9.1.14-h4之前的PAN-OS，9.0.16-h3之前的PAN-OS，8.1.23-h1之前的PAN-OS。

根据Palo Alto Networks的公告，PAN-OS 的URL过滤策略的错误配置可能会允许网络攻击者进行反射和放大的TCP拒绝服务（RDoS）攻击。那些针对攻击者指定的目标进行的攻击流量，似乎是来自于Palo Alto Networks PA系列（硬件）、VM系列（虚拟）和CN系列（容器）防火墙。

DDoS领域最引人注目的变化之一是攻击流量峰值的不断增长。攻击者通过使用反射/放大技术，利用DNS、NTP、SSDP、CLDAP、Chargen和其他协议的漏洞，然而却最大限度铺天盖地地无节制地扩大了他们的所谓的攻击部队的规模。

最近Palo Alto Networks的攻击被认为是使用了TCP攻击，即攻击者向一系列随机或预选的反射IP地址发送一个具有欺骗性的SYN数据包，用受害者的IP地址替换原始源IP。反射地址上的服务以SYN-ACK数据包回复被攻击的受害者。如果受害者没有回应，反射服务将继续重发SYN-ACK数据包，导致攻击效果的放大。放大的数量取决于反射服务的SYN-ACK重传的数量，这可以由攻击者自己定义。如果反射服务的syn-ack重传次数超过阈值，攻击者可以利用该漏洞进行恶意代码执行。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!