Yaklaşık 22.500 Palo Alto GlobalProtect güvenlik duvarı cihazı, en az 26 Mart 2024’ten bu yana saldırılarda aktif olarak kullanılan kritik bir komut ekleme güvenlik açığı olan CVE-2024-3400 kusuruna karşı muhtemelen savunmasızdır.
CVE-2024-3400, GlobalProtect özelliğindeki belirli Palo Alto Networks’ün PAN-OS sürümlerini etkileyen, kimliği doğrulanmamış saldırganların rastgele dosya oluşturmayla tetiklenen komut enjeksiyonunu kullanarak kök ayrıcalıklarıyla komutlar yürütmesine olanak tanıyan kritik bir güvenlik açığıdır.
Kusur, 12 Nisan’da Palo Alto Networks tarafından açıklandı ve güvenlik danışmanlığı, sistem yöneticilerini bir yama kullanıma sunulana kadar sağlanan hafifletici önlemleri hemen uygulamaya çağırdı.
PAN-OS sürümüne bağlı olarak yamalar 14 ile 18 Nisan 2024 arasında kullanıma sunuldu, dolayısıyla ifşa sonrası risklere maruz kalma iki ila altı gün sürdü. Daha sonra Palo Alto’nun telemetriyi devre dışı bırakma uygulamasının cihazları korumadığı ve tek çözümün güvenlik yamalarını uygulamak olduğu ortaya çıktı.
Bu istismarı ilk keşfeden Volexity araştırmacıları, ‘UTA0218’ olarak takip edilen devlet destekli tehdit aktörlerinin bu kusurdan yararlanarak ‘Upstyle’ adlı özel bir arka kapıyla sistemlere bulaştığını ortaya çıkardı.
Bu haftanın başlarında araştırmacılar, CVE-2024-3400’e yönelik teknik ayrıntıları ve kavram kanıtlayıcı bir istismarı paylaşarak, kimliği doğrulanmamış saldırganların yama uygulanmamış uç noktalarda kök olarak komutları ne kadar kolay çalıştırabildiğini gösterdi.
Bu açıktan yararlanmanın kamuya açık olması, çok sayıda tehdit aktörünün kendi saldırılarını gerçekleştirmesine olanak tanıdı ve sistem yöneticilerine yama uygulamasını geciktirme şansı bırakmadı.
Greynoise tarayıcıları, CVE-2024-3400 kusurundan yararlanmaya çalışan daha fazla sayıda benzersiz IP adresini göstererek, bu artan istismarı doğruladı.
Durumun aciliyetine rağmen ShadowServer Vakfı tehdit izleme hizmeti, 18 Nisan 2024 itibarıyla hâlâ “muhtemelen savunmasız” yaklaşık 22.500 örneğin bulunduğunu söylüyor.
Cihazların çoğu Amerika Birleşik Devletleri’nde (9.620), ardından Japonya (960), Hindistan (890), Almanya (790), Birleşik Krallık (780), Kanada (620), Avustralya (580) ve Fransa’da bulunuyor. 500).
Bu haftanın başlarında Shadow Server, internette 156.000’den fazla PAN-OS güvenlik duvarı örneğinin açığa çıktığını, bunlardan kaçının saldırılara karşı savunmasız olabileceğini fark etmediğini bildirdi.
Geçen Cuma, tehdit araştırmacısı Yutaka Sejiyama kendi taramalarını gerçekleştirdi ve CVE-2024-34000’e karşı savunmasız olduğunu iddia ettiği 82.000 güvenlik duvarını gözlemlediğini bildirdi.
Araştırmacının tahminleri doğruysa, açığa çıkan tüm PAN-OS sistemlerinin kabaca %73’üne bir hafta içinde yama uygulandı.
Herhangi bir eylemde bulunmamış olanların, geçen haftadan bu yana birkaç kez yeni bilgiler ve şüpheli etkinliklerin araştırılmasına yönelik talimatlarla güncellenen Palo Alto güvenlik tavsiyesinde önerilen eylemleri izlemeleri tavsiye ediliyor.