Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü yaptığı açıklamada, güvenlik duvarı yapılandırma geçiş aracı olan Palo Alto Networks Expedition’daki bir güvenlik açığının (CVE-2024-5910) vahşi saldırganlar tarafından istismar edildiğini doğruladı.
CVE-2024-5910 Hakkında
Synopsys Siber Güvenlik Araştırma Merkezi’nden (CyRC) Brian Hysell tarafından ortaya çıkarılan ve bildirilen CVE-2024-5910, kritik bir işlev için kimlik doğrulamanın eksik olmasından kaynaklanıyor ve bu durum, kuruluma ağ erişimi olan saldırganların Expedition yönetici hesabını ele geçirmesine yol açabilir.
Palo Alto Networks tarafından Temmuz 2024’te güvenlik açığını gideren bir güvenlik güncellemesi sağlandı. Şirket ayrıca, yükseltme yapamayanlara, Expedition kurulumlarına ağ erişiminin yetkili kullanıcılar, ana bilgisayarlar veya ağlarla sınırlı olduğundan emin olmalarını tavsiye etti.
CVE-2024-5910’un kamuya açıklanması, Horizon3.ai araştırmacılarını (üç ay sonra), yönetici şifresini sıfırlamak için açıktaki bir uç noktaya basit bir istek gönderilerek bu güvenlik açığından yararlanılabileceğini açıklamaya teşvik etti:
Yönetici şifresinin sıfırlanması (Kaynak: Horizon3.ai)
Ayrıca aracın daha fazla zayıf noktası olup olmadığını araştırmaya karar verdiler ve üç tane buldular:
- CVE-2024-9464: Kimliği doğrulanmış bir komut ekleme
- CVE-2024-9465: Kimliği doğrulanmamış bir SQL enjeksiyonu
- CVE-2024-9466: Günlüklerdeki şifresiz metin kimlik bilgileri
Bu güvenlik açıklarına yönelik düzeltmeler Ekim 2024’te yayımlandı. Ancak güvenlik açığı bulunan Expedition sunucularında “kimliği doğrulanmamış” rastgele komut yürütmeyi sağlamak için kusuru CVE-2024-9464 ile zincirlemeye yönelik kavram kanıtlama yararlanma kodu, herkesin erişimine açıktır.
Ne yapalım?
CVE-2024-5910’un tek başına mı yoksa başka bir güvenlik açığıyla birlikte mi kullanıldığı bilinmiyor çünkü CISA bu bilgiyi paylaşmadı.
Palo Alto Networks, tavsiye metnini güncelleyerek “CISA’dan gelen ve bu CVE’nin aktif olarak kullanıldığına dair kanıtların bulunduğuna dair raporlardan haberdar olduklarını” ifade etti.
Henüz yapmamışlarsa, kullanıcılar Expedition kurulumlarını sabit bir sürüme yükseltmeli ve internete açık olmadığından emin olmalıdır (çünkü bunun için bir neden yoktur).
Daha sonra, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının yanı sıra tüm Expedition kullanıcı adlarını, şifrelerini ve API anahtarlarını dönüşümlü olarak kullanmaları gerekir.
Horizon3.ai’den Zach Hanley daha önce uzlaşma göstergelerinin nasıl kontrol edileceğini açıklamıştı.