ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü, Palo Alto Networks Expedition’ı etkileyen, aktif istismara ilişkin kanıtları öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna artık yamalanmış kritik bir güvenlik açığı ekledi.
CVE-2024-5910 (CVSS puanı: 9,3) olarak takip edilen güvenlik açığı, Expedition taşıma aracında yönetici hesabının ele geçirilmesine yol açabilecek eksik kimlik doğrulama durumuyla ilgilidir.
CISA bir uyarıda, “Palo Alto Expedition, ağ erişimi olan bir saldırganın Expedition yönetici hesabını ele geçirmesine ve potansiyel olarak yapılandırma sırlarına, kimlik bilgilerine ve diğer verilere erişmesine olanak tanıyan eksik bir kimlik doğrulama güvenlik açığı içeriyor” dedi.
Bu eksiklik, sorunu gidermek için Temmuz 2024’te yayımlanan 1.2.92 sürümünden önceki Expedition sürümlerini etkiliyor.
Şu anda güvenlik açığının gerçek dünyadaki saldırılarda nasıl silah haline getirildiğine dair bir rapor bulunmuyor, ancak Palo Alto Networks o zamandan beri orijinal tavsiye metnini revize ederek “aktif istismara dair kanıtların bulunduğuna dair CISA’dan gelen raporlardan haberdar olduğunu” kabul etti.
KEV kataloğuna ayrıca, Google’ın bu hafta “sınırlı, hedefli istismar” kapsamına girdiğini açıkladığı Android Framework bileşenindeki (CVE-2024-43093) ayrıcalık yükseltme güvenlik açığı da dahil olmak üzere iki kusur daha eklendi.
Diğer güvenlik kusuru CVE-2024-51567’dir (CVSS puanı: 10.0), CyberPanel’i etkileyen, kimliği doğrulanmamış uzak bir saldırganın komutları root olarak yürütmesine olanak tanıyan kritik bir kusurdur. Sorun 2.3.8 sürümünde çözüldü.
LeakIX’e ve Gi7w0rm çevrimiçi takma adını kullanan bir güvenlik araştırmacısına göre, Ekim 2023’ün sonlarında, bu güvenlik açığının kötü niyetli aktörler tarafından toplu olarak PSAUX fidye yazılımını internete açık 22.000’den fazla CyberPanel örneğine dağıtmak için kullanıldığı ortaya çıktı.
LeakIX ayrıca üç farklı fidye yazılımı grubunun, bazı durumlarda dosyaların birden çok kez şifrelenmesiyle bu güvenlik açığından hızla yararlandığını da belirtti.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için belirlenen güvenlik açıklarını 28 Kasım 2024’e kadar düzeltmeleri önerildi.