2.000’den Fazla Palo Alto Ağ Güvenlik Duvarı Hacklendi

   Kasım 22, 2024  Posted in HackRead


Shadowserver Vakfı, 2.000’den fazla Palo Alto Networks güvenlik duvarının iki sıfır gün güvenlik açığı aracılığıyla saldırıya uğradığını bildirdi: CVE-2024-0012 ve CVE-2024-9474, yönetici bypass’ını ve root erişimini mümkün kılıyor. Başlıca hedefler: ABD ve Hindistan.

Shadowserver’daki siber güvenlik araştırmacıları yaklaşık 2.000’in Palo Alto Ağları güvenlik duvarları ele geçirildi. İhlaller, şirketin PAN-OS yazılımında yakın zamanda tespit edilen iki sıfır gün güvenlik açığından yararlanıyor. Bu güvenlik açıkları CVE-2024-0012 ve CVE-2024-9474 olarak etiketlendi.

Güvenlik Açıkları

CVE-2024-0012: Bu güvenlik açığı, PAN-OS yönetimi web arayüzündeki bir kimlik doğrulama atlamasından kaynaklanmaktadır. Uzaktaki saldırganların kimlik doğrulaması olmadan yönetici ayrıcalıkları kazanmasına olanak tanır. Bu, saldırganların güvenlik duvarı ayarlarına müdahale edebileceği ve bu ayarların daha fazla istismara açık hale gelebileceği anlamına gelir.

CVE-2024-9474: Bu kusur bir ayrıcalık yükseltme sorunudur. Bir kez istismar edildiğinde, saldırganların komutları kök ayrıcalıklarıyla yürütmesine olanak tanıyarak, güvenliği ihlal edilen güvenlik duvarı üzerinde tam kontrol sahibi olmalarını sağlar.

Dikkat et! Suudi NCA ile olan işbirliğimiz sayesinde, artık CVE-2024-0012/CVE-2024-9474 kampanyası sonucunda İHLAL EDİLMİŞ olan Palo Alto Networks cihazlarını tarıyor ve raporluyoruz. 2024-11-20’de güvenliği ihlal edilmiş yaklaşık 2000 örnek bulundu: Dashboard.shadowserver.org/statistics/c… En çok etkilenenler: ABD ve Hindistan

— Shadowserver Vakfı (@shadowserver.bsky.social) 21 Kasım 2024, 09:45

Ay Gözetleme Operasyonu – Devam Eden Tehdit Faaliyeti

Palo Alto Networks’ün sahip olduğu adlandırılmış Bu güvenlik açıklarından ilk kez yararlanılan “Ay Gözetleme Operasyonu”. Palo Alto Networks, ilk olarak 8 Kasım’da müşterilerini, belirtilmemiş bir uzaktan kod yürütme kusuru nedeniyle yeni nesil güvenlik duvarlarına erişimin kısıtlanması konusunda uyarmıştı.

O tarihten bu yana şirket, 19 Kasım 2024’te üçüncü taraf araştırmacılar tarafından teknik bilgilerin kamuya açıklanmasının ardından tehdit faaliyetlerinde kayda değer bir artış gözlemledi.

Palo Alto Networks tehdit istihbarat ekibi Birim 42, CVE-2024-0012 ve CVE-2024-9474 zincirleme işlevsel bir açıktan yararlanmanın kamuya açık olduğunu ve bunun daha geniş bir tehdit faaliyetine yol açabileceğini orta ila yüksek güvenle değerlendiriyor.

Şirket şu anda bu iki güvenlik açığının sınırlı sayıda cihaz yönetimi web arayüzünü hedef alacak şekilde zincirlenmesini içeren devam eden saldırıları araştırıyor. Şirket, tehdit aktörlerinin kötü amaçlı yazılım bıraktığını ve ele geçirilen güvenlik duvarlarında komutlar yürüttüğünü gözlemledi; bu da bir zincirleme istismarın muhtemelen halihazırda kullanımda olduğunu gösteriyor.

Kullanıcılara Yönelik Öneriler

Palo Alto Networks, riski azaltmak için çeşitli önerilerde bulundu:

  • İzleme ve İnceleme: Kullanıcılar, internete açık bir yönetim web arayüzüne sahip cihazlarda herhangi bir şüpheli veya anormal aktiviteyi izlemelidir. Yamayı uyguladıktan sonra, yetkisiz yönetici etkinliğine ilişkin işaretler açısından güvenlik duvarı yapılandırmalarını ve denetim günlüklerini incelemek çok önemlidir.
  • Hemen Yama Yapın: Müşterilerin, CVE-2024-0012 ve CVE-2024-9474’ü düzelten en son yamaları alacak şekilde sistemlerini güncellemeleri önerilir. Etkilenen ürünler ve sürümler hakkında ayrıntılı bilgi Palo Alto Networks Güvenlik Önerilerinde bulunabilir.
  • Erişimi Kısıtla: Riski azaltmak için Palo Alto Networks, yönetim web arayüzüne erişimin yalnızca güvenilir dahili IP adresleriyle sınırlandırılmasını önerir. Bu, önerilen en iyi uygulama dağıtım yönergeleriyle uyumludur.

Uzman Görüşleri

Elad LuzOasis Security Araştırma Başkanı, yama yapılmadan önce bile acil eylemin önemini vurguluyor. Etkilenen müşterilere web yönetimi arayüzüne erişimi kısıtlamalarını, tercihen yalnızca dahili IP’lere izin vermelerini tavsiye ediyor. Luz ayrıca, yama sonrasında cihazların herhangi bir potansiyel kötü amaçlı yazılım veya kötü amaçlı yapılandırmadan arınmış olmasını sağlamanın gerekliliğini de vurguluyor.

  1. Palo Alto Yamaları Python Arka Kapısı Tarafından 0 Günlük İstismar Edildi
  2. Kimlik doğrulamayı atlama NATO onaylı güvenlik duvarında kusur bulundu
  3. Kritik RCE Güvenlik Açığı 330.000 Fortinet Güvenlik Duvarını Riske Atıyor
  4. CISA, Palo Alto Networks’ün Keşif Aracı Kusurunun Düzeltilmesi Çağrısında Bulundu
  5. 100.000’den fazla Zyxel Güvenlik Duvarı ve VPN Ağ Geçidinde arka kapı hesabı bulundu





Source link