Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik Operasyonları
Kimliği Doğrulanmamış Saldırganlar, Cihazların PAN-OS Yazılımını Çöktürmek İçin Kötü Amaçlı Paket Kullanıyor
Mathew J. Schwartz (euroinfosec) •
27 Aralık 2024
Güvenlik duvarı devi Palo Alto Networks, saldırganların müşterilerin güvenlik duvarlarını çökertmek için kullandığı bir güvenlik açığını düzeltmek için güncellemeler yapıyor.
Ayrıca bakınız: Ağ Güvenlik Duvarları için Magic Quadrant
Kusur, şirketin cihazlarını çalıştıran PAN-OS yazılımında mevcut. Şirket, bulut tabanlı NGFW’nin (yeni nesil güvenlik duvarı anlamına gelir) etkilenmediğini söyledi.
Şirket, Perşembe günkü güvenlik toplantısında şunları söyledi: “Palo Alto Networks PAN-OS yazılımının DNS Güvenliği özelliğindeki bir hizmet reddi güvenlik açığı, kimliği doğrulanmamış bir saldırganın, güvenlik duvarının veri düzlemi üzerinden, güvenlik duvarını yeniden başlatan kötü amaçlı bir paket göndermesine olanak tanıyor.” danışma. “Bu durumu tetiklemeye yönelik tekrarlanan girişimler, güvenlik duvarının bakım moduna girmesine neden olacaktır.”
Güvenlik açığı CVE-2024-3393 olarak takip ediliyor.
Güvenlik duvarı yöneticileri Salı gününden itibaren aktif saldırıların olduğunu bildirdi. Bir yönetici, Palo Alto Networks Güvenlik Duvarı alt dizininde “Güvenlik duvarı kötü niyetli DNS trafiğini engellediğinde bu kusurdan yararlanılıyor” dedi. Bu işlevsellik Palo Alto ürünlerindeki “Gelişmiş DNS Güvenliği” özelliği ile sağlanmaktadır.
Palo Alto, kusurun ciddiyetini “yüksek” olarak değerlendirdi ve düzeltme için “orta” bir aciliyet gösterdi. Güvenlik duvarları için bu güvenlik açığının CVSS değeri 8,7’dir. Şirket, kusurun aynı zamanda CVSS derecesi 7,1 olan Prisma Access güvenlik hizmeti uç cihazlarında da “yalnızca kimliği doğrulanmış son kullanıcılara erişim sağlarken” mevcut olduğunu söyledi.
İngiliz güvenlik uzmanı Kevin Beaumont, saldırganların bu kusurdan yararlanarak yalnızca yeniden başlatmakla kalmayıp aynı zamanda savunmasız cihazları çökertebileceğini söyledi. Mastodon’a yazdığı bir gönderide, “Bir HA çifti Palo Alto kutusu üzerinde istismarı birden çok kez çalıştırırsanız, ikisi de çöküyor ve yeniden başlatılmıyor. DNSSEC’yi internete sunmamanız önemli değil” dedi. “Onarım, her iki kutunun da fiziksel olarak yeniden başlatılmasıdır. O halde yama yapın.”
Bir Palo Alto güvenlik duvarı yöneticisi, bir Reddit gönderisinde, güvenlik duvarlarının 24 Aralık’ta yeniden başlatılmaya başlamasından hemen önce – geriye dönüp bakıldığında, görünüşe göre birisinin bu kusurdan yararlanması nedeniyle – beklenmeyen bir yüksek kullanılabilirliğe sahip yük devretme gördüklerini, ancak günlüklerinde Palo dışında hiçbir şey görmediklerini söyledi. Alto’nun WildFire bulut tabanlı kötü amaçlı yazılım analiz ürünü kendini güncelliyor ve bunun suçlu olmadığı ortaya çıktı.
Yönetici, “Noel arifesinde ‘düşük bellek durumu’ nedeniyle rastgele bir HA yük devretmemizin kesinlikle tuhaf olduğunu düşündüm” dedi. “Günlükleri incelememiz, bir dakika önce meydana gelen bir Wildfire güncellemesi dışında hiçbir şey göstermedi; bunun nedeni olduğundan şüpheleniyorduk. Alınan ders. Palos kendi kendine yeniden başlatılmaz. Dumanın olduğu yerde yangın vardır. “
Palo Alto, ürünün “Gelişmiş DNS Güvenliği” özelliğinin bir parçası olan “Bu sorunun PAN-OS yazılımını etkilemesi için DNS Güvenlik günlüğünün etkinleştirilmesi gerekir” dedi.
Satıcının web sitesi, kullanıcıların bu özelliği etkinleştirmek için “aktif bir Gelişmiş DNS Güvenliği lisansı” için ödeme yapması gerektiğini söylüyor; şirket, potansiyel sıfır gün saldırılarını ve ortaya çıkan kötü amaçlı yazılımları engellemek için hemen harekete geçmek üzere hem “makine öğrenimi hem de kitle kaynaklı zekayı” kullanarak çalıştığını söylüyor.
Şirketlerin böyle bir lisansa kaydolup kaydolmaması, güvenlik açığından yararlanma amacıyla önemli görünmüyor. Cuma günü Palo Alto Networks Güvenlik Duvarı alt dizisinde bir yönetici, Palo Alto’nun Teknik Yardım Merkezi tarafından paylaşılan bilgilere atıfta bulunarak, “Görünüşe göre lisansa sahip olmamak hiçbir fark yaratmıyor” dedi. “Hala savunmasızsınız. Bu nedenle tavsiyemiz, geçici çözümü yamalamak veya uygulamaktır.”
Satıcı, kusuru düzeltmek için 11.1.x, 10.2.x ve 10.1.x sürümleri için bir dizi PAN-OS güncellemesi dağıttı. “Bu sorun PAN-OS 10.1.14-h8, PAN-OS 10.2.10-h12, PAN-OS 11.1.5, PAN-OS 11.2.3 ve sonraki tüm PAN-OS sürümlerinde düzeltilmiştir” dedi. “Not: PAN-OS 11.0, 17 Kasım’da kullanım ömrünün sonuna ulaştı, dolayısıyla bu sürüm için bir düzeltme sağlamayı planlamıyoruz.”
Şirket ayrıca şirketlerin yama uygulayabilene kadar başvurabilecekleri geçici hafifletme önlemlerini de ayrıntılı olarak açıkladı.
Palo Alto, DNS Güvenliğini PAN-OS sürümlerinin etkilenen bir sürümüyle kullanan Prisma Access müşterilerinin, Panorama veya Strata Cloud Manager güvenlik duvarı yönetim araçlarını kullanmalarına bağlı olarak bu iki geçici çözümden birini uygulamaları gerektiğini söyledi. Bu geçici çözümler sırasıyla DNS Güvenlik Günlüğü günlüğünün ciddiyetinin “yok” olarak ayarlanmasını veya DNS Güvenliği günlüğünün tamamen devre dışı bırakılmasını içerir. Satıcı bir düzeltme yayınladıktan sonra kullanıcıların bu özellikleri yeniden etkinleştirmeyi hatırlamaları gerekecektir.
Şirket iki hafta içinde Prisma Access’i yayınlama sözü verdi. Şirket, “Etkilenen müşteriler için 3 Ocak ve 10 Ocak hafta sonları iki aşamada yükseltmeler gerçekleştireceğiz” dedi.
Beaumont, Palo Alto kusurunun, yakın zamanda Fortinet cihazlarını çalıştıran FortiOS yazılımında ortaya çıkan tamamen farklı bir sıfır gün güvenlik açığına benzediğini söyledi. Fortinet ürünleri için bu güvenlik açığından “FortiOS’un belleğinin dolmasına ve arızalı duruma geçmesine neden olan yönetim dışı bir paket” tarafından yararlanılabileceği belirtildi. Bu, izinsiz giriş tespit sisteminin ham soket arabelleği dolduğunda ve artık paketleri inceleyemediğinde cihazların girdiği yetersiz bellek moduna bir referanstır. Cihazlar, “arızalı açılma” ve diğer paketlerin inceleme olmadan geçmesine izin verme veya “arıza kapatma” ve IPS denetimi tekrar çevrimiçi olana kadar tüm paketleri engelleme şeklinde ayarlanabilir.
Beaumont, “Bunu daha da genişletmek için – her iki güvenlik açığını da kullanarak hizmet reddi yaşayan bir telekomünikasyon şirketinin farkındayım, bir e-suç grubu temel olarak güvenlik duvarı yönetimi olmayan sıfır gün sorunuyla karşı karşıya kaldı ki bu da başka bir tırmanmadır” dedi Beaumont.
Palo Alto kusurunda olduğu gibi, FortiOS kusurunun da hala desteklenen cihazların işletim sisteminin en son sürümüne güncellenmesiyle giderilebileceğini söyledi.
Son teknoloji cihazlara saldırmak, hem suç grupları hem de ulus devlet grupları tarafından düzenli olarak kullanılan bir taktiktir (bkz.: Palo Alto Güvenlik Duvarlarının Bilinmeyen Bir Kusur Kullanılarak Kullanıldığını Bildirdi).