Palo Alto Networks’ün Expedition aracındaki kritik bir güvenlik açığı, bilgisayar korsanları tarafından aktif olarak istismar ediliyor. CISA yama yapılmasını teşvik ediyor – Expedition yazılımınıza hemen yama uygulayarak ağınızı ve hassas verilerinizi nasıl koruyacağınızı öğrenin.
Yakın zamanda ağ yapılandırmanızı Expedition aracını kullanarak Palo Alto Networks’e taşıdıysanız, araçtaki kritik bir güvenlik açığının (CVE-2024-5910) tehdit aktörleri tarafından aktif olarak istismar edilmesi nedeniyle hızlı hareket etmeniz gerekir. Bu, bilgisayar korsanlarının yönetici hesabını ele geçirebileceği, hassas yapılandırma verilerine erişebileceği ve hatta Expedition yazılımınıza yama yapmadıysanız güvenlik duvarlarınızın kontrolünü ele geçirebileceği anlamına gelir.
Bilginiz olsun diye söylüyorum, Expedition, kullanıcıların ağ yapılandırmalarını Cisco veya Checkpoint gibi diğer satıcılardan kendi ürünlerine sorunsuz bir şekilde geçirmelerine yardımcı olan kullanışlı bir araçtır. Birçok adımı otomatikleştirerek işletmeler için geçişi daha sorunsuz hale getirir. Araç, Ocak 2025’ten itibaren kullanımdan kaldırılacak.
Palo Alto Networks’ün, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından, Expedition aracının 1.2.92 öncesi sürümlerinde bir güvenlik açığının kullanıldığı konusunda bilgilendirildiği bildirildi. Palo Alto bu güvenlik açığına yönelik olarak temmuz ayında bir düzeltme eki yayınlamıştı ancak saldırganlar zaten bu güvenlik açığından yararlanıyor.
CISA, tavsiye belgesinde “Palo Alto Expedition, ağ erişimi olan bir saldırganın Expedition yönetici hesabını ele geçirmesine ve potansiyel olarak yapılandırma sırlarına, kimlik bilgilerine ve diğer verilere erişmesine olanak tanıyan eksik bir kimlik doğrulama güvenlik açığı içeriyor” dedi.
Uyarı belgesi, Expedition’a taşınan yapılandırma sırlarının, kimlik bilgilerinin ve diğer verilerin, aracın tehdit aktörleri için idari hesapların ele geçirilmesini tetikleyebileceğinden kritik kusur nedeniyle risk altında olduğu konusunda uyarıyor. Bu güvenlik açığı, CVSS puanının 9,3 (10 üzerinden) olmasıyla “kritik” olarak derecelendirilmiştir ve Kritik İşlev (CWE-306) için eksik bir kimlik doğrulama gerektirir. Bu, saldırganların bu durumdan yararlanmasının çok kolay olduğu ve ciddi sonuçlara yol açabileceği anlamına gelir.
Güvenlik araştırmacısı Zach Hanley’nin bir kavram kanıtı (PoC) istismarı yayınlamasıyla Ekim ayında istismar girişimleri muhtemelen arttı. Saldırganların yönetici hesaplarını sıfırlamasına ve güvenlik duvarı yapılandırmalarını kontrol etmesine olanak tanıyan, savunmasız Expedition sunucularında kimliği doğrulanmamış uzaktan kod yürütmek için CVE-2024-5910 ile başka bir güvenlik açığının (CVE-2024-9464) nasıl birleştirileceğini gösterir.
CISA, bu güvenlik açığını “Bilinen İstismara Uğrayan Güvenlik Açıkları” kataloğuna ekleyerek federal kurumları 28 Kasım’dan önce bu güvenlik açığını gidermeye çağırdıbu.
Kendinizi korumak için yazılımınızı en son sürüme (1.2.92 veya üzeri) güncelleyin. Güncellendikten sonra hem Expedition hem de Expedition aracılığıyla işlenen güvenlik duvarları için kullanıcı adlarını, şifreleri ve API anahtarlarını değiştirin. Ayrıca, en son tehditler ve güvenlik açıkları hakkında güncel bilgilere sahip olmak için Palo Alto Networks’ten veya diğer saygın kaynaklardan gelen güvenlik uyarılarına kaydolun.
Uyarının, Tehdit istihbaratı şirketi Volexity’nin Nisan ayında Palo Alto Networks’ün güvenlik duvarı cihazlarını etkileyen bir sıfır gün istismarını keşfetmesinin ardından geldiğini belirtmekte fayda var. Araştırmacılara göre güvenlik açığı maksimum CVSS puanı 10’du ve muhtemelen ulus devlet korsanları tarafından kullanılıyordu.
Bambanek Consulting Başkanı John Bambenek, durumu şöyle değerlendirdi: “Bu güvenlik açığı, saldırganların kimlik doğrulaması olmadan bu cihazlara ulaşıp onları ele geçirmesine olanak tanır ve bunlar, taktiksel bir nedenden dolayı kurduğunuz türden bir araçtır. İş bitince unutuyorsunuz. Herhangi bir nedenle kapatamıyorsanız bu cihazları açık İnternet’ten çıkarın.“
İLGİLİ KONULAR
- Palo Alto Yamaları Python Arka Kapısı Tarafından 0 Günlük İstismar Edildi
- CISA ve Fortinet, FortiOS’un Yeni Sıfır Gün Kusurları Konusunda Uyardı
- Bilgisayar Korsanları Check Point VPN’lerini Hedefliyor, Güvenlik Düzeltmesi Yayınlandı
- Palo Alto Networks çalışanlarının özel bilgileri internete sızdırıldı
- Cisco Yüksek Önem Derecesinde Kod Yürütme ve VPN Ele Geçirme Kusurlarını Düzeltiyor