Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik Operasyonları
Henüz Yama Yok; Ağ Devi, Yönetim Arayüzü Kilitlemesinin Saldırıları Önlediğini Söyledi
Mathew J. Schwartz (euroinfosec) •
15 Kasım 2024
Siber güvenlik devi, saldırganların Palo Alto Networks’ün bazı güvenlik duvarlarının yönetim arayüzündeki sıfır gün güvenlik açığından yararlandığı konusunda uyardı.
Ayrıca bakınız: Canlı Web Semineri | SD-WAN 3.0: APAC’ın Ağ Dönüşümünün Sonraki Aşaması
Şirket Perşembe günü geç saatlerde bir güvenlik uyarısında, “Palo Alto Networks, internete açık sınırlı sayıda güvenlik duvarı yönetim arayüzüne karşı kimliği doğrulanmamış bir uzaktan komut yürütme güvenlik açığından yararlanan bir tehdit faaliyeti gözlemledi” dedi.
Palo Alto, kusurun uzaktan istismar edildiğini, CVSS ölçeğinde 10 üzerinden 9,3 “kritik” önem derecesine sahip olduğunu ve güvenlik açığının azaltılmasının “en yüksek” aciliyetle ele alınması gerektiğini söyledi.
Kullanıcılar için bir zorluk: Güvenlik açığını giderecek bir yama henüz mevcut değil. Ayrıca takip için herhangi bir CVE kodu tahsis edilmemiştir. Palo Alto, “Tehdit faaliyetini araştırırken, düzeltmeleri ve tehdit önleme imzalarını mümkün olan en kısa sürede yayınlamaya hazırlanıyoruz” dedi. “Şu anda yönetim arayüzüne erişimi güvence altına almak önerilen en iyi eylemdir.”
Şirket, Prisma Access veya Cloud NGFW’nin bu saldırılar nedeniyle risk altında olduğuna inanmadığını söyledi.
Siber güvenlik araştırmacıları, saldırılar ve kusurlarla ilgili gerçek dünyadaki ayrıntıların yetersiz kaldığını doğruluyor. Siber güvenlik firması Cuma günkü bir blog yazısında, “Rapid7 tehdit istihbarat ekipleri aynı zamanda olası bir sıfır gün güvenlik açığına ilişkin söylentileri de izliyordu, ancak şimdiye kadar bu söylentiler asılsızdı” dedi.
Palo Alto, müşterilerini ilk kez 8 Kasım’da bazı güvenlik duvarı türlerinin yönetim arayüzünde sıfır gün güvenlik açığı raporlarını araştırdığı konusunda uyardı ve onlardan arayüzleri kilitlemelerini istedi.
Pazartesi günü şirket, müşterilerin internete dönük bir yönetim arayüzü aracılığıyla açığa çıkan güvenlik duvarlarını keşfetmek için tasarlanmış taramalara erişmelerine yardımcı olacak bir kılavuz yayınladı.
Perşembe günü yayınlanan güvenlik bülteni güncellemesinde şirket, aktif saldırıların sürdüğünü ve “bu aktiviteyi aktif olarak araştırdığını” doğruladı.
Bir yama bekleyen şirket, kullanıcıları hafifletme tavsiyesini uyguladıklarından emin olmaya çağırdı. “Özellikle, yönetim arayüzüne erişimin internetten değil, yalnızca güvenilir dahili IP’lerden mümkün olduğundan hemen emin olmanızı öneririz. Güvenlik duvarlarının büyük çoğunluğu zaten Palo Alto Networks’ün sektördeki en iyi uygulamasını takip ediyor.”
Palo Alto’nun uzun süredir devam eden bu en iyi uygulama kılavuzu, kullanıcıları, merkezi yönetim sistemi Panorama da dahil olmak üzere güvenlik duvarlarını yönetmek için “bant dışı” bir yönetim bağlantı noktası kullanmaya teşvik ediyor.
Kılavuzda “Yönetim bağlantı noktasını kullanmak yerine, güvenlik duvarına yönetim erişimi için veri bağlantı noktalarından birinin yapılandırılacağı bazı senaryoların olduğunu anlıyoruz” deniyor. “Kurulumunuz ne olursa olsun, onu saldırganlar için zor bir hedef haline getirmek ve güvenlik duvarını/Panorama’yı korumak ve yönetim arayüzünüze internetten veya diğer güvenilmeyen bölgelerden erişime ASLA izin vermemek çok önemlidir. Bu, özel yönetim bağlantı noktasını kullanıyor olsanız da geçerlidir. (MGT) veya yönetim arayüzünüz olarak bir veri bağlantı noktasını yapılandırırsınız.”
Palo Alto, erişimi yalnızca güvenilen dahili IP’lere kısıtlayacak şekilde yapılandırılmış cihazlar için, güvenlik açığının CVSS ölçeğinde 7,5 gibi daha düşük bir risk oluşturduğunu – yüksek ancak kritik değil – çünkü “herhangi bir olası saldırının ilk önce olacağı gibi, istismar riski büyük ölçüde sınırlıdır” dedi. bu IP’lere ayrıcalıklı erişim gerektiriyor.”
Şirket, saldırganların bu kusurdan zaten yararlanmış olabileceği konusunda müşterileri uyardı. Daha önce güvenlik duvarı yönetimi arayüzlerini internete açıklamış olan herhangi bir kuruluş için, “müşteriye, tanınmayan yapılandırma değişiklikleri veya kullanıcılar gibi şüpheli tehdit etkinliklerini izlemesini tavsiye ediyoruz” dedi.
Henüz belirtilmeyen sayıda Palo Alto Networks güvenlik duvarındaki sıfır gün kusuruna ilişkin haberler, ürünlerinde aktif olarak yararlanılan ve Nisan ve Temmuz aylarında ortaya çıkan diğer sıfır gün kusurlarının keşfinin ardından geldi (bkz: CISA, Kritik Palo Alto İstismarına Yönelik Aktif Saldırılara Karşı Uyardı).