Palo Alto Networks è una società americana specializzata in sicurezza IT: i suoi prodotti vanno da firewall “in ferro” a soluzioni di sicurezza in cloud. 

Quindi pensare che strumenti posti a presidio della sicurezza di una qualche infrastruttura siano essi stessi in pericolo non è una bella cosa: eppure questa è l’eventualità che segnala la società stessa con l’avviso di sicurezza https://security.paloaltonetworks.com/CVE-2022-0028 del 10-08-2022, in cui denuncia la presenza di un difetto nel loro software, un bug di gravità elevata (CVE-2022-0028, 8.6 CVSS) derivante da un controllo insufficiente sui volumi di traffico di rete (CWE-406 Insufficient Control of Network Message Volume - Network Amplification). 

La cosa ancora più grave è il successivo avviso del CISA (Cybersecurity and Infrastructure Security Agency) che indica come “sfruttato in natura questo difetto” e la conseguente esortazione alle agenzie federali degli Stati Uniti per una correzione del bug entro il 9 settembre (e la parallela raccomandazione forte mossa alle società private affinché correggano celermente il problema). In conseguenza di questo il CISA ha iscritto la vulnerabilità nel suo database di vulnerabilità note (Known Exploited Vulnerabilities KEV): https://www.cisa.gov/known-exploited-vulnerabilities-catalog. 

Questa vulnerabilità consente ad avversari remoti di eseguire attacchi denial-of-service riflessi e amplificati (DRDoS) in assenza di autenticazione su obiettivi (firewall) operanti con le versioni di sistema affette da questo difetto. La vulnerabilità non avrebbe impatto CIA sul dispositivo, ma è evidente che avrebbe un impatto sull’infrastruttura. 

Per Palo Alto si sta parlando comunque di un limitato numero di sistemi, tutti da trovarsi in specifiche condizioni di configurazione “non comune”, ossia avere una configurazione di filtraggio URL sul traffico proveniente da Internet, configurazione che non porta alcun vantaggio di sicurezza e che Palo Alto considera “non intenzionale” qualora sia attiva su un sistema (nel senso che nessun sistemista la vorrebbe attiva, visto il beneficio nullo). Stiamo parlando quindi di firewall serie PA (hardware), serie VM (virtuale) e serie CN (contenitore) con sistemi PAN-OS in differenti versioni (PAN-OS precedenti la 10.2.2-h2, PAN-OS precedenti la 10.1.6-h6, PAN-OS la 10.0.11-h1, PAN-OS precedenti la 9.1.14-h4, PAN-OS precedenti la 9.0.16-h3 e PAN-OS precedenti la 8.1.23-h1). Tutte le versioni successive si intendono non affette dal problema. 

L’avviso di sicurezza di Palo Alto descrive in modo particolareggiato le condizioni della configurazione che debba sussistere perché la vulnerabilità possa essere sfruttata: in assenza di aggiornamenti ai sistemi, almeno è importante rimuovere le configurazioni che possano innescare il problema. La correzione al bug operata con le versioni software successive elimina il problema anche in presenza di configurazione errata. 

Ma visto che la configurazione che innesca il tutto è una configurazione “non intenzionale” (come la chiama Palo Alto), questa può essere una buona occasione per un checkup dei nostri firewall ed il momento di una ottimizzazione della loro configurazione. 

Tweet