Bugün CISA, saldırganların güvenlik duvarı yapılandırmasını Checkpoint, Cisco ve diğer satıcılardan PAN-OS’a dönüştürmeye yardımcı olabilecek bir geçiş aracı olan Palo Alto Networks Expedition’daki kritik bir eksik kimlik doğrulama güvenlik açığından yararlandıkları konusunda uyardı.
Bu güvenlik açığı, CVE-2024-5910 olarak izlendi, Temmuz ayında yama uygulandı ve tehdit aktörleri, İnternet’e açık Expedition sunucularındaki uygulama yöneticisi kimlik bilgilerini sıfırlamak için bu durumdan uzaktan yararlanabilir.
CISA, “Palo Alto Expedition, ağ erişimi olan bir saldırganın Expedition yönetici hesabını ele geçirmesine ve potansiyel olarak yapılandırma sırlarına, kimlik bilgilerine ve diğer verilere erişmesine olanak tanıyan eksik bir kimlik doğrulama güvenlik açığı içeriyor” diyor.
Siber güvenlik kurumu bu saldırılar hakkında henüz daha fazla ayrıntı sunmamış olsa da, Horizon3.ai güvenlik açığı araştırmacısı Zach Hanley, Ekim ayında bu yönetici sıfırlama kusurunun CVE-2024-9464 komut ekleme güvenlik açığıyla zincirlenmesine yardımcı olabilecek bir kavram kanıtı istismarı yayınladı ( geçen ay yamalı) savunmasız Expedition sunucularında “kimliği doğrulanmamış” rastgele komut yürütme elde etmek için.
CVE-2024-9464, güvenlik duvarı yönetici hesaplarını ele geçirmek ve PAN-OS güvenlik duvarlarını ele geçirmek için diğer güvenlik kusurlarıyla (Ekim ayında Palo Alto Networks tarafından da ele alındı) zincirlenebilir.
Gelen saldırıları engellemek için güvenlik güncellemelerini hemen yükleyemeyen yöneticilere, Expedition ağ erişimini yetkili kullanıcılar, ana bilgisayarlar veya ağlarla kısıtlamaları önerilir.
Şirket, “Expedition’ın sabit sürümüne yükseltildikten sonra tüm Expedition kullanıcı adları, şifreleri ve API anahtarları değiştirilmelidir. Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarları, güncelleme sonrasında döndürülmelidir” diye uyarıyor.
Palo Alto Networks, müşterilerini devam eden CVE-2024-5910 saldırılarına karşı uyarmak için güvenlik tavsiyesini henüz güncellemedi.
CISA, perşembe günü bu güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na da ekledi. Kasım 2021’de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği gibi, ABD federal kurumlarının artık ağlarındaki savunmasız Palo Alto Networks Expedition sunucularını 28 Kasım’a kadar üç hafta içinde saldırılara karşı güvence altına alması gerekiyor.
Siber güvenlik kurumu, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” uyarısında bulundu.