Palo Alto Networks, ürünlerini etkileyen güvenlik açıklarını gidermek için güvenlik güncellemeleri yayınladı. Bunlar arasında saldırganlara tam yönetici kontrolü sağlayabilecek Expedition geçiş aracında bulunan kritik bir güvenlik açığı da yer alıyor.
CVE-2024-5910 olarak adlandırılan bu kritik güvenlik açığı, 9.3’lük bir CVSS puanına sahiptir ve Expedition geçiş aracında kimlik doğrulama eksikliğinden kaynaklanmaktadır. Bu eksik güvenlik önlemi, Expedition’a ağ erişimi olan kötü niyetli aktörlerin yönetim hesaplarını ele geçirmesine izin verebilir.
1.2.92 Öncesi Tüm Expedition Sürümleri Risk Altında
Tehlikeye atılmış bir Expedition geçiş aracı yönetici hesabının sonuçları önemlidir. Palo Alto Networks tavsiyesine göre, “Expedition’a aktarılan yapılandırma sırları, kimlik bilgileri ve diğer veriler risk altındadır” ve bu kusuru istismar eden saldırganlara açık olacaktır.
Bu güvenlik açığı, bir düzeltme içeren 1.2.92’den önceki tüm Expedition sürümlerini etkiler. Neyse ki, bu güvenlik açığının etkin bir şekilde istismar edildiğine dair bir kanıt yok. Ancak Palo Alto Networks, olası tehditleri azaltmak için Expedition’ın en son sürüme güncellenmesini şiddetle öneriyor.
Palo Alto Networks, geçici bir çözüm olarak Expedition’a ağ erişiminin yalnızca yetkili kullanıcılar, cihazlar ve ağlarla sınırlandırılmasını öneriyor.
Palo Alto Güvenlik Duvarları Patlama-RADIUS ile Karşı Karşıya
Expedition geçiş aracı açığına ek olarak, Palo Alto Networks ayrıca Blast-RADIUS olarak adlandırılan RADIUS protokolünde yakın zamanda keşfedilen bir güvenlik açığını da ele aldı. CVE-2024-3596 olarak izlenen bu güvenlik açığı, saldırganların RADIUS sunucularını kullanan Palo Alto Networks güvenlik duvarlarında kimlik doğrulama prosedürlerini atlatmasını sağlayabilir.
Teknik detaylar, Blast-RADIUS’un bir saldırganın Palo Alto Networks PAN-OS güvenlik duvarı ile bir RADIUS sunucusu arasında konumlandığı ve sözde “aradaki adam” saldırısı başlattığı bir senaryoyu nasıl istismar ettiğini araştırıyor. Bu manevra, Palo Alto Networks duyurusunda belirtildiği gibi saldırganın potansiyel olarak “RADIUS kimlik doğrulaması kullanıldığında ve RADIUS sunucu profilinde CHAP veya PAP seçildiğinde ayrıcalıkları ‘süper kullanıcıya’ yükseltmesine” olanak tanır.
Bilmeyenler için, CHAP (Challenge-Handshake Authentication Protocol) ve PAP (Password Authentication Protocol), tavsiyeye göre, içsel Taşıma Katmanı Güvenliği (TLS) şifrelemesinin olmaması nedeniyle “şifrelenmiş bir tünel tarafından kapsüllenmedikçe kullanılmaması gereken” iki kimlik doğrulama protokolüdür. Neyse ki, RADIUS sunucu kimlik doğrulaması için PAP ile EAP-TTLS’yi kullanacak şekilde yapılandırılmış PAN-OS güvenlik duvarları bu istismara karşı savunmasız değildir.
“Palo Alto Networks, bu genel sorunun nasıl istismar edileceğini gösteren kavram kanıtı kodunun farkındadır.”
Palo Alto Networks, Blast-RADIUS’tan etkilenen birçok PAN-OS sürümünü tespit etti ve çoğu için düzeltmeler halihazırda mevcut.
Aşağıdaki PAN-OS sürümleri etkilenmiştir:
- PAN-OS 11.1 (11.1.3’ten büyük sürümlerde düzeltildi)
- PAN-OS 11.0 (11.0.4-h4’ten sonraki sürümlerde düzeltildi)
- PAN-OS 10.2 (10.2.10’dan büyük sürümlerde düzeltildi)
- PAN-OS 10.1 (10.1.14’ten büyük sürümlerde düzeltildi)
- PAN-OS 9.1 (9.1.19’dan büyük sürümlerde düzeltildi)
Prisma Access için 30 Temmuz’da bir düzeltmenin yapılması bekleniyor.