İnternet çapında tarama etkinliğindeki bir artış, tehdit aktörlerinin Palo Alto Networks Pan-OS’da kritik bir küresel prozet kusuru olan CVE-2024-3400’e karşı savunmasız sistemler için aktif olarak araştırdığını göstermektedir.
SANS ISC’deki güvenlik araştırmacıları, güvenlik duvarlarına oturum dosyalarını yerleştirmek ve almak için GlobalProtect Portal’ın dosya yükleme uç noktasını sistematik olarak hedefleyen tek bir kaynak IP adresi 141.98.82.26 gözlemlediler.
Sömürü iki basit adım içerir. İlk olarak, bir saldırgan, GlobalProtect dizinindeki bir dosyanın oluşturulmasını zorlamak için manipüle edilmiş bir oturum kimliği içeren /ssl-vpn/hipreport.esp’e bir isteği yayınlar.
Ardından, bu dosyanın yolu için bir GET isteği, sunucu “403” durumuyla yanıt verdiğinde başarılı yüklemeyi onaylar ve dosyanın herhangi bir kod yürütmeden var olduğunu bildirir.
| CVE kimliği | Tanım | CVSS 4.0 puanı | Etkilenen PAN-OS sürümleri |
| CVE-2024-3400 | OS komut enjeksiyonuna yol açan keyfi dosya oluşturma | 10.0 | 10.2 (<10.2.0-h3 ila <10.2.9-h1) 11.0 (<11.0.0-h3 ila <11.0.4-h1) 11.1 (<11.1.0-h3 ila <11.1.2-h3) |
Gerçek bir saldırı senaryosunda, rakipler bunu komuta yürütmeye izin veren bir yere zincirleyerek güvenlik duvarı üzerinde kök seviyesi kontrolü sağlayacaktır.
Bu güvenlik açığı, bir GlobalProtect portalı veya ağ geçidi ile yapılandırıldığında PAN-OS sürümleri 10.2, 11.0 ve 11.1’i etkiler. Bulut NGFW, Panorama ve Prisma erişimi etkilenmez.
Mükemmel bir CVSS 4.0 skoru 10.0 ve Palo Alto Networks’ten “en yüksek” aciliyet derecesi ile bu sorun derhal dikkat gerektiriyor.
Konsept Kanıtı kodu kamuya açık bir şekilde çoğaldı ve eksploit sonrası kalıcılık teknikleri gösterilmiştir, bu da açılmamış ortamlar için riskleri artırmıştır.
Taramalardaki artışa rağmen, kavram kanıtı sömürüsünün ötesinde yaygın, teyit edilen yaygın saldırılar bildirilmiştir.
Bununla birlikte, güvenlik açığının ağ tarafından erişilebilir doğası ile birleştiğinde otomasyon kolaylığı ve gerekli kimlik doğrulama eksikliği, onu fırsatçı operatörler ve otomatik botnetler için birincil bir hedef haline getirir.
Palo Alto Networks, PAN-OS 10.2.9-H1, 11.0.4-H1 ve 11.1.2-H3’te düzeltmeler ve diğer bakım sürümleri için birkaç nezaket sıcaklığı yayınladı.
Yöneticiler derhal yükseltmeleri şiddetle tavsiye edilir. Tehdit önleme aboneliği olan kuruluşlar, GlobalProtect arayüzündeki istismar girişimlerini engellemek için 95187, 95189 ve 95191 imzalarını da kullanabilir. Cihaz telemetrisinin devre dışı bırakılması artık etkili bir hafifletme olarak kabul edilmemektedir.
Yamalar uygulanıncaya kadar, savunucular anormal yazı için global-proctect uç noktalarını izlemeli veya hipreport.esp ve/global-koruyucu/portal/resimler/talepleri almalıdır.
Ağ saldırısı algılama sistemleri, olağandışı kullanıcı ajanı dizeleri veya tekrarlanan 404/403 yanıt kalıpları konusunda uyarmalıdır.
Gelişmiş fabrika ayarlı prosedürler, tam olarak güvenilemeyen uzlaşmış cihazlar için Palo Alto Networks Müşteri Desteği aracılığıyla mevcuttur.
Yaygın tarama devam ederken ve kavram kanıtı kamuoyunu kullanırken, kuruluşlar bu güvenlik açığını potansiyel tam sistem uzlaşmasını önlemek için en büyük aciliyetle muamele etmelidir.
Sürekli izleme, zamanında yama ve tehdit önleme imzaları, ortaya çıkan sömürü girişimlerine karşı temel savunmalardır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.