Palo Alto Networks, ağ güvenliği satıcısının PAN-OS güvenlik duvarı yönetim arayüzünü etkileyen yeni bir sıfır gün güvenlik açığının vahşi ortamda aktif olarak kullanıldığını doğrulamasından bir gün sonra yeni güvenlik ihlali göstergelerini (IoC’ler) yayınladı.
Bu amaçla şirket, aşağıdaki IP adreslerinden kaynaklanan ve internet üzerinden erişilebilen PAN-OS yönetim web arayüzü IP adreslerini hedef alan kötü amaçlı faaliyetler gözlemlediğini söyledi:
- 136.144.17[.]*
- 173.239.218[.]251
- 216.73.162[.]*
Ancak şirket, bu IP adreslerinin muhtemelen “bu IP’lerden diğer hedeflere doğru meşru kullanıcı etkinliğine sahip üçüncü taraf VPN’leri” temsil edebileceği konusunda uyardı.
Palo Alto Networks’ün güncellenmiş uyarısı, güvenlik açığının ele geçirilen cihazlara bir web kabuğu dağıtmak için bu kusurdan yararlanılarak tehdit aktörlerinin kalıcı uzaktan erişim elde etmesine olanak tanıdığını gösteriyor.
Henüz bir CVE tanımlayıcısı atanmayan güvenlik açığı, kritik ciddiyeti gösteren 9,3 CVSS puanına sahiptir. Kimliği doğrulanmamış uzaktan komut yürütülmesine izin verir.
Şirkete göre, güvenlik açığından yararlanmak için herhangi bir kullanıcı etkileşimi veya ayrıcalığı gerekmiyor ve saldırı karmaşıklığı “düşük” olarak değerlendiriliyor.
Bununla birlikte, kusurun ciddiyeti yüksek bir seviyeye düşer (CVSS puanı: 7,5), yönetim arayüzüne erişimin sınırlı bir IP adresi havuzuyla sınırlandırılması gerekir; bu durumda tehdit aktörünün öncelikle bu IP’lere ayrıcalıklı erişim elde etmesi gerekecektir.
8 Kasım 2024’te Palo Alto Networks, uzaktan kod yürütme (RCE) kusuru raporlarının ortasında müşterilere güvenlik duvarı yönetim arayüzlerini korumalarını tavsiye etmeye başladı. O zamandan beri gizemli güvenlik açığının “sınırlı sayıda” örnekte kötüye kullanıldığı doğrulandı.
Şu anda güvenlik açığının nasıl ortaya çıktığı, istismarın arkasındaki tehdit aktörleri ve bu saldırıların hedefleri hakkında herhangi bir ayrıntı bulunmuyor. Prisma Access ve Cloud NGFW ürünleri bu kusurdan etkilenmemektedir.
Güvenlik açığına yönelik yamaların henüz yayınlanmaması, kullanıcıların yönetim arayüzüne erişimi güvenli hale getirmek için (henüz yapmamış olsalar bile) derhal gerekli adımları atmasını zorunlu kılmaktadır.
Uyarı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre Palo Alto Networks Expedition’daki (CVE-2024-5910, CVE-2024-9463 ve CVE-2024-9465) üç farklı kritik kusurun aktif olarak istismar edilmesi üzerine geliyor. ). Bu aşamada faaliyetlerin birbiriyle ilişkili olduğunu gösteren hiçbir kanıt yoktur.
(Bu gelişmekte olan bir hikayedir. Daha fazla güncelleme için lütfen tekrar kontrol edin.)