Google’ın Project Zero ve Mantiant Siber Güvenlik Ekipleri, Palo Alto Networks ‘Pan-Os OpenConfig eklentisinde yüksek şiddetli komut enjeksiyon güvenlik açığı için bir kavram kanıtı (POC) istismarı yayınladı.
CVE-2025-0110 olarak izlenen kusur, kimlik doğrulamalı yöneticilerin manipüle edilmiş GNMI istekleri aracılığıyla güvenlik duvarlarında keyfi komutlar yürütmesine izin verir ve kök erişimine ayrıcalıklar artar.
Açıklama, Palo Alto Networks’in Şubat 2025 yama sürümünü takip ediyor ve kritik altyapıdaki güvenlik duvarı sömürü zincirleri ile ilgili artan endişeleri vurguluyor.
CVE-2025-0110, GNMI protokolü aracılığıyla ağ aygıtı yapılandırmasını kolaylaştıran PAN-OS OpenConfig eklentisinde bulunur.
Bu kusurdan yararlanan saldırganlar, kötü niyetli komutlar enjekte ederek güvenlik kısıtlamalarını atlayabilir. type Syslog alımı sırasında bir XPath sorgusunun parametresi. Örneğin, POC gömme gösterir $(echo system > file1; cat file1) Bash komutlarını yürütmek için sorguya.
bash./gnmic -a :9339 -u admin --password= --skip-verify \
--path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]' Başarılı sömürü, saldırganların güvenlik duvarlarını yeniden yapılandırmasına, hassas verileri dışarı atmasına veya önceki PAN-OS kampanyalarında gözlemlenen Upstyle kötü amaçlı yazılımlar gibi kalıcı arka fırınları dağıtmasına olanak tanır.
Zincir Risklerinden İstismar
CVE-2025-0110 kimlik doğrulaması gerektirse de, Google’ın araştırmacıları CVE-2025-0108 ile birleştirildiğinde tehlikesini vurguluyor, bu ayın başlarında bir kimlik doğrulama baypası kusuru yamalı. Tehdit aktörleri bu güvenlik açıklarını şunlara zincirleyebilir:
- CVE-2025-0108’in PHP komut dosyası sömürüsü aracılığıyla giriş kontrolleri.
- Kök erişimi elde etmek için CVE-2025-0110 kullanarak ayrıcalıkları artırın.
- Kasım 2024’te görüldüğü gibi fidye yazılımı veya casusluk araçlarını dağıtın CVE-2024-9474’ten yararlanın.
Palo Alto Networks, bu zincirleme saldırı vektörünün aktif olarak sömürülmesini doğruladı, Greynoise ise 26 kötü niyetli IPS’yi açıkta kalan yönetim arayüzlerini hedefliyor.
Palo Alto Networks, 12 Şubat 2025’te Sabit OpenConfig eklenti sürümlerini (≥2.1.2) yayınladı ve müşterileri şunlara çağırıyor:
- Yamaları hemen uygulayın (PAN-OS 11.2.4-H4, 11.1.6-H1, vb.).
- Güvenilir IP’lere yönetim arayüzü erişimini kısıtlayın.
- Kullanılmamışsa OpenConfig’i devre dışı bırakın.
Google’ın açıklaması, 90 günlük güvenlik açığı açıklama politikasıyla uyumludur ve yayınlanmadan önce yamaların mevcut olduğunu belirtmektedir. Bununla birlikte, Shadowserver Foundation, 21 Şubat itibariyle 3.500’den fazla internete maruz kalan PAN-OS arayüzünün teminatsız kaldığını bildiriyor.
- Yama Önceliklendirme: Özellikle kamu yönetimi arayüzlü güvenlik duvarları için PAN-OS güncellemelerinin derhal kurulumu.
- Ağ segmentasyonu: Güvenlik duvarı yönetimi uçaklarını izole etmek için sıfır tröst politikalarını uygulamak.
- Tehdit avı: Anormal GNMI isteklerini izleyin veya beklenmedik cron istihdam yaratma, Ustalıklı arka kapı aktivitesinin göstergeleri.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun