Bilgisayar korsanları Palo Alto Networks Pan-Os Global Koru Güvenlik Açığı’nı aktif olarak taramak


Pan-OS Global koruma güvenlik açığı

Güvenlik araştırmacıları, kritik PAN-OS GlobalProtect güvenlik açığını (CVE-2024-3400) hedefleyen internet çapında taramalarda önemli bir artış gözlemliyorlar.

Saldırganlar, işletim sistemi komut enjeksiyonu ve sonuçta savunmasız güvenlik duvarlarında tam kök kodu yürütülmesi için keyfi bir dosya oluşturma kusurundan yararlanmaya çalıştıkça istismar girişimleri arttı.

Kritik PAN-OS SSL VPN kusurunun sömürülmesi (CVE-2024-3400)

Eylül 2025’in sonlarından bu yana, küresel olarak konuşlandırılan Honeypots, PAN-OS SSL VPN portallarını araştıran binlerce TCP bağlantısı giriş yaptı.

SANS Teknoloji Enstitüsü, önemli bir kaynak IP’nin, 141.98.82.26’nın, oturum kimliği doğrulama eksikliğinden yararlanarak /ssl-vpn/hipreport.esp son noktasına defalarca kötü niyetli posta talepleri yayınladığını gözlemledi. Saldırgan hazırlanmış bir kurabiye başlığı sağlar:

  Palo Alto Networks Pan-OS Global Koru Güvenlik Açığı'nı sömürmek

Yükleme başarılı olursa, /global-protect/portal/images/evil.txt için bir takip GET isteği, dosya varlığını onaylayarak HTTP/403 döndürür.

Saldırganlar daha sonra dosya yerleştirmeyi dizinlere yönlendirerek komut yürütmesine izin verir. Bu otomatik taramalar, CVE-2024-3400’ün yüksek CVSS 10.0 şiddetini ve ağa erişilemeyen, kime doğrulanmamış saldırı vektörünü yansıtır.

google

Risk faktörleri Detaylar
Etkilenen ürünler PAN-OS 10.2 10.2.9-H1, 11.0 Öncesi Sürümler 11.0.4-H1, 11.1’den önceki sürümler 11.1.2-H3’ten önce versiyonlar (GlobalProtect ağ geçidi veya portal etkinken)
Darbe OS komut enjeksiyonuna ve kök kodu yürütülmesine yol açan keyfi dosya oluşturma
Önkoşuldan istismar Yok (Ağ tarafından erişilebilir, kimlik doğrulanmamış)
CVSS 3.1 puanı 10. 0 (kritik)

Hafifletme

Palo Alto Networks, 10.2.9-H1, 11.0.4-H1, 11.1.2-H3-sabit PAN-OS sürümleri ve etkilenen dallar için yeni sıcaklıklar yayınladı.

Hemen yükseltme, devam eden sömürüyü engellemeye şiddetle tavsiye edilir. Yöneticiler ayrıca GlobalProtect arayüzündeki ilk keyfi dosya oluşturma etkileşimini engellemek için Tehdit Önleme İmzaları 95187, 95189 ve 95191’i dağıtabilir.

Tespit için operatörler anormal oturum kimliği dizeleri için GPSVC günlüklerini aşınmalıdır:

  Palo Alto Networks Pan-OS Global Koru Güvenlik Açığı'nı sömürmek

Meşru rehber kalıpları altı haneli gruplar olarak görünür; Oturumlar (ve) arasındaki herhangi bir dosya sistemi yolu veya kabuk snippet’i sömürü girişimlerini gösterir.

Güncellemelerin bir zaman çizelgesi, gelişmiş fabrika sıfırlama (EFR) prosedürlerinin ve kanıt toplama için CLI komutlarının Nisan ve Mayıs 2024 arasında yayınlandığını ve devam eden iyileştirme çabalarının altını çizdiğini göstermektedir.

Cloud NGFW ve Prisma Access müşterileri etkilenmez; Yalnızca şirket içi PAN-OS 10.2–11.1 GlobalProtect Gateway veya Portal özellikli cihazlar risk altındadır.

Kuruluşlar,/var/appweb/sslvpndocs’ta yetkisiz dosyalar için ağ> globalprotect> ağ geçitleri/portallar ve denetim altındaki güvenlik duvarı GUI üzerinden yapılandırmayı doğrulamalıdır.

Tehdit aktörleri CVE-2024-3400’ü silahlandırmaya devam ettikçe, uyanık yama yönetimi, proaktif günlük denetimi ve sağlam tehdit önleme uygulaması, yetkisiz kök seviyesi erişimi karşı savunmak için kritik öneme sahiptir.

Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.

GoogleNews



Source link