Uç Nokta Güvenliği
Şirket, Komut Ekleme Güvenlik Açığı İçin Bir Düzeltme Yayımladı
Sayın Mihir (MihirBagwe) •
15 Nisan 2024
Güvenlik duvarı üreticisi Palo Alto Networks, güvenlik araştırmacılarının Mart ayından başlayarak sıfır günü istismar etmeye yönelik, muhtemelen devlet destekli bir tehdit aktöründen gelen bir kampanyayı tespit etmesinden sonra, Cuma günü özel işletim sisteminde mevcut olan bir komut ekleme güvenlik açığına yönelik bir düzeltme yayınladı.
Ayrıca bakınız: Cloudflare’in Veri Gizliliği ve Kanun Uygulama Taleplerine İlişkin Politikaları
CVE-2024-3400 olarak izlenen kusur, maksimum CVSS puanı olan 10’u taşıyor. Palo Alto, bir saldırganın bunu “güvenlik duvarında kök ayrıcalıklarıyla rastgele kod yürütmek” için kullanabileceği konusunda uyardı. Sorun, GlobalProtect ağ geçidi veya cihaz telemetrisi etkinleştirilmiş GlobalProtect portalı ile yapılandırılmış şirket içi PAN-OS 10.2, 11.0 ve 11.1 güvenlik duvarlarını etkilemektedir.
Tehdit istihbaratı şirketi Volexity, sıfır gün istismarını ortaya çıkardı ve UTA0218 olarak takip ettiği bir tehdit aktörünün 26 Mart’ta bu istismara başladığını söyledi. Volexity, saldırıyı, sıfır günü keşfetmek ve bundan yararlanmak için gereken kaynaklara dayalı olarak bir hükümete bağlıyor. hedeflenen kurbanların sayısı ve tehdit aktörlerinin kurban ağlarına daha fazla erişmek için kurduğu Python kodlu bir arka kapının karmaşıklığı.
Bu kusura ilişkin kavram kanıtlı bir istismar artık GitHub’da mevcuttur ve bu nedenle ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, hatayı bilinen istismar edilen güvenlik açıkları kataloğuna ekledi. CISA, tüm federal kurumlara güvenlik duvarı cihazlarını Cuma gününe kadar güvenceye almaları talimatını verdi.
İyi kaynaklara sahip siber suç çeteleri ve ulus devlet bilgisayar korsanları, SonicWall, Fortinet, Barracuda, F5 ve Cisco gibi endüstrinin ağır toplarının cihazlarını ele geçiren bir cihaz hackleme çılgınlığının içindeler. VPN üreticisi Ivanti’nin müşterileri, muhtemelen Çinli ulus-devlet bilgisayar korsanlarının Aralık ayında sıfır günü istismar etmeye başlamasının ardından bu yılın ilk aylarını acil durum yamaları uygulayarak geçirdiler (bkz: Hackerlar CISA Tarafından Kullanılan Ivanti Cihazlarını Ele Geçirdi).
Tehdit istihbaratı araştırmacıları, üreticiler cihazları uç nokta taramasının dışında bıraktığı veya yöneticilerin çalışma zamanı değişikliklerini tespit etmesini veya adli soruşturmalar yürütmesini zorlaştırdığı sürece cihazların hedef olmaya devam edeceği konusunda uyardı (bkz:: Ivanti, Kullanım Ömrü Sonu İşletim Sistemleri ve Yazılım Paketlerini Kullanıyor).
Palo Alto Networks, bu sorunun kötü niyetli olarak kullanıldığının farkında olduğunu ve bunu MidnightEclipse Operasyonu olarak takip ettiğini söyledi.
Volexity, sıfır gün istismarının sınırlı ve hedefli göründüğünü ancak “savunmasız sistemleri tanımlamayı amaçlayan daha yaygın istismarı içeren potansiyel keşif faaliyetine dair kanıtların bu yazının yazıldığı sırada ortaya çıktığı görülüyor” dedi.
Siber güvenlik firması, bilgisayar korsanlarının güvenlik duvarlarına sızmak için bu güvenlik açığından yararlandığını ve kalıcı erişim sağlamak ve komutları uzaktan yürütmek için “Upstyle” adını verdiği özel bir arka kapı kurduklarını söyledi. Bilgisayar korsanları arka kapıyı güvenlik duvarının Python yapılandırma dosyalarına gizlediler. Arka kapı ayrıca ek yüklerin dağıtımını da kolaylaştırır.
Volexity, saldırganların ihlallerin ardından iç ağlara yöneldiğine dair kanıtları ortaya çıkardı. Tehdit aktörleri, Active Directory veritabanı ile Google Chrome ve Microsoft Edge’deki tarayıcı verileri de dahil olmak üzere hassas Windows dosyalarını hedef aldı.
Volexity, CrowdStrike ve Microsoft’un da aralarında bulunduğu siber güvenlik şirketleri, Palo Alto Networks’ün ele geçirilen güvenlik duvarlarını belirlemeyi amaçlayan algılama yöntemleri geliştirdi.