ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) perşembe günü, Palo Alto Ağ Keşif Gezisi’ni etkileyen iki kusurun daha vahşi ortamda aktif olarak istismar edildiği konusunda uyardı.
Buna ek olarak, güvenlik açıklarını Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna ekleyerek Federal Sivil Yürütme Organı (FCEB) kurumlarının 5 Aralık 2024’e kadar gerekli güncellemeleri uygulamasını zorunlu kıldı.
Güvenlik kusurları aşağıda listelenmiştir:
- CVE-2024-9463 (CVSS puanı: 9,9) – Palo Alto Networks Expedition İşletim Sistemi Komut Ekleme Güvenlik Açığı
- CVE-2024-9465 (CVSS puanı: 9,3) – Palo Alto Networks Expedition’da SQL Enjeksiyon Güvenlik Açığı
Güvenlik açıklarından başarıyla yararlanılması, kimliği doğrulanmamış bir saldırganın, Expedition geçiş aracında kök olarak rastgele işletim sistemi komutları çalıştırmasına veya veritabanı içeriğini açığa çıkarmasına olanak tanıyabilir.
Bu daha sonra kullanıcı adlarının, şifresiz metin şifrelerinin, cihaz yapılandırmalarının ve PAN-OS güvenlik duvarlarının cihaz API anahtarlarının ifşa edilmesine veya savunmasız sistemde rastgele dosyalar oluşturulup okunabilmesine yol açabilir.
Palo Alto Networks, 9 Ekim 2024’te yayınlanan güvenlik güncellemelerinin bir parçası olarak bu eksiklikleri giderdi. Şirket o zamandan beri orijinal tavsiye belgesini “CVE-2024-9463 ve CVE-2024-9465.”
Bununla birlikte, bu güvenlik açıklarının nasıl, kimler tarafından kullanıldığı ve bu saldırıların ne kadar yaygın olduğu hakkında pek bir şey bilinmiyor.
Bu gelişme aynı zamanda Expedition’ı etkileyen bir diğer kritik kusur olan CVE-2024-5910’un (CVSS puanı: 9,3) aktif olarak kullanıldığı konusunda CISA’ya bilgi verilmesinden bir hafta sonra gerçekleşti.
Palo Alto Networks Sınırlı Saldırı Altındaki Yeni Kusuru Doğruladı
Palo Alto Networks ayrıca, kimlik doğrulaması yapılmamış bir uzaktan komut yürütme güvenlik açığının internete açık küçük bir güvenlik duvarı yönetim arayüzü alt kümesine karşı silah haline getirildiğini tespit ettiğini doğruladı ve müşterilerin bu güvenlik önlemlerini almalarını istedi.
“Palo Alto Networks, internete açık sınırlı sayıda güvenlik duvarı yönetim arayüzüne karşı kimliği doğrulanmamış bir uzaktan komut yürütme güvenlik açığından yararlanan bir tehdit faaliyeti gözlemledi” diye ekledi.
Kötü amaçlı etkinliği araştıran ve güvenlik açığına CVSS puanı olarak 9,3 (CVE tanımlayıcısı yok) veren şirket, ayrıca “düzeltmeler ve tehdit önleme imzalarını mümkün olduğu kadar erken yayınlamaya hazırlandığını” da belirtti.