Palo Alto Networks PAN-OS yazılımı, yetkisiz bir saldırganın kök erişimiyle güvenlik duvarında rastgele kod çalıştırmasına olanak tanıyan kritik bir komut ekleme güvenlik açığına sahiptir.
Güvenlik açığı, CVSS puanı 10,0 olan CVE-2024-3400 olarak tanımlanıyor. MidnightEclipse Operasyonu, istismarını tanımlamak için icat edildi.
Palo Alto Networks, geçen Cuma günü bir uyarı yayınlayarak bu güvenlik açığını kullanan hedefli saldırıları doğruladı, bir tehdit aktörünün bilinen istismar için olduğunu belirtti ve tehdit aktörleri tarafından daha fazla istismar edilme olasılığına dikkat çekti.
Yalnızca PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 güvenlik duvarları, cihaz telemetrisi etkinleştirilmiş şekilde yapılandırılmıştır ve GlobalProtect ağ geçidi veya GlobalProtect portalı (veya her ikisi) bu sorundan etkilenir.
Prisma Access, Panorama cihazları ve bulut güvenlik duvarları (Cloud NGFW) bu kusurdan etkilenmez.
Saldırganlar Bu Kusurdan Nasıl Yararlandı?
Saldırganlar bu güvenlik açığından yararlanarak, harici bir sunucuda barındırılan komutları dakikada bir alan bir cron işi oluşturuyor.
Daha sonra bu komutları yürütmek için bash kabuğu kullanılır. URL’nin Python’da çalışan bir güvenlik duvarı arka kapısına yönelik bir dağıtım sistemi olduğuna inanılıyor.
Tehdit aktörünün direktiflerini yerine getiren gömülü arka kapı bileşeninin kodu, Python dosyası tarafından yazılan ve başlatılan başka bir Python betiği tarafından çözülür ve çalıştırılır.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Tehdit aktörünün daha fazla araç indirmek, ters kabuk oluşturmak, dahili ağlara doğru rotayı değiştirmek ve sonunda verileri çalmak için güvenlik duvarını uzaktan kullandığı gözlemlendi.
Palo Alto Networks, özel işletim sistemindeki komut ekleme güvenlik açığını gidermek için bir düzeltme yayınladı.
Saldırı muhtemelen güvenlik uzmanlarının Mart ayında başladığını keşfettiği, devlet destekli bir tehdit grubunun kampanyasının sonucuydu.
Bunu keşfeden tehdit istihbarat firmasına göre Volexity, 26 Mart’ta sıfır gün güvenlik açığından yararlanmaya başlayan UTA0218 adlı bir tehdit aktörünü takip ediyor.
Sıfır günü bulmak ve kullanmak için gereken kaynaklara, hedeflenen kurban türüne ve tehdit aktörlerinin kurban ağlarına ek erişim elde etmek için yerleştirdiği Python kodlu arka kapının karmaşıklığına dayanarak Volexity, saldırıyı bir hükümete bağlıyor.
Volexity’ye göre sıfır gün istismarının hedeflendiği ve kısıtlandığı görülüyor. Bununla birlikte, bu yazının yazıldığı an itibariyle, “savunmasız sistemleri tanımlamayı amaçlayan daha yaygın istismarı içeren potansiyel keşif faaliyetine dair kanıtlar, bu yazının yazıldığı sırada ortaya çıkmış gibi görünüyor.”
Volexity, izinsiz girişlerden sonra saldırganların iç ağlara geçtiklerine dair kanıt buldu.
Active Directory veritabanının yanı sıra Microsoft Edge ve Google Chrome’daki tarayıcı verileri de tehdit aktörlerinin hedeflediği kritik Windows dosyaları arasında yer aldı.
Yayımlanan Düzeltmeler
Sorun, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 ve sonraki tüm PAN-OS sürümlerinin düzeltme sürümlerinde giderilmiştir.
Ayrıca şirket, yaygın olarak dağıtılan bakım sürümlerine yönelik düzeltmelerin de kullanıma sunulacağını söyledi.
Palo Alto Networks, kullanıcılara ağlarındaki olağandışı davranışları izlemelerini ve ani etkinlikleri araştırmalarını tavsiye ediyor.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.