Palo Alto Networks (PAN), Cuma günü müşterilerini, Expedition güvenlik duvarı arayüzünde siber suçlular tarafından kritik, doğrulanmamış bir uzaktan kod yürütme (RCE) hatasının istismar edildiği konusunda uyaran bir uyarı yayınladı; geçen hafta.
PAN’ın Expedition güvenlik duvarı yönetimi, satıcının yeni müşterilerini önceki sistemlerinden PAN-OS’a geçirmek için kullandığı bir yardımcı programdır. En son hata için bir yayınladı kritik güvenlik bülteni uyarısı Expedition’daki kimliği doğrulanmamış bir uzaktan komut ekleme güvenlik açığını (CVE-2024-0012, CVSS 9.3) hedefleyen yeni tehdit etkinliği hakkında. Şirket, sıfır günün farkına ne zaman vardığını tam olarak belirtmedi ancak kimlik doğrulama kontrolünün eksik olmasından kaynaklanan hata için bugün yama yayınladı.
Palo Alto Network’ün güvenlik bülteninde, “Palo Alto Networks, İnternet’e açık sınırlı sayıda güvenlik duvarı yönetim arayüzüne karşı kimliği doğrulanmamış bir uzaktan komut yürütme güvenlik açığından yararlanan bir tehdit faaliyeti gözlemledi” denildi.
PAN bülteninden bir gün önce, 14 Kasım Perşembe günü CISA şunu ekledi: iki ayrı, kritik Expedition kusuru 8 Kasım’da Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’nda açıklandı: CVSS puanı 9,9 olan bir işletim sistemi komut ekleme güvenlik açığı (CVE-2024-9463); ve CVSS puanı 9,2 olan bir SQL enjeksiyon güvenlik açığı (CVE-2024-9465). Ve sadece bir hafta önce, 10 Temmuz’da açıklanan eksik bir kimlik doğrulama hatası olan başka bir PAN Expedition güvenlik açığı, KEV listesi (CVE-2024-5910).
Açıkta Kalan Bir Keşif Güvenlik Duvarı Yönetim Sisteminin Güvenliği Nasıl Sağlanır?
Müşteriler sistemlerine mümkün olan en kısa sürede yama yapmalıdır; ve satıcı, Expedition kullanıcılarına, sistemlerine genel internetten erişilememesini sağlama konusunda ısrar ediyor.
Etkilenen güvenlik duvarlarının çoğu zaten bu en iyi uygulamayı izlese de PAN, müşterilere “yönetim arayüzüne erişimin İnternet’ten değil, yalnızca güvenilir dahili IP’lerden mümkün olduğundan hemen emin olmalarını” tavsiye ediyor.
ShadowServer Vakfı’nın IoT cihaz izleme istatistiklerine göre 14 Kasım’da 8.700’den fazla örnek vardı. PAN-OS Yönetim sistemleri İnternete bağlı ve bu istismarlara karşı savunmasız. Bu sayı, PAN’ın 8 Kasım bülteninden önce gözlemlenen 11.000 civarındaydı.
PAN’dan Dark Reading’e yapılan açıklamada, “Müşterilerimizin güvenliği en yüksek önceliğimizdir ve yüksek risk altında olduğunu tespit ettiğimiz müşterilerle günlük iletişim halindeyiz” denildi. “Yakın zamanda, İnternet’e açık bir yönetim arayüzüne sahip olduğuna inandığımız az sayıda güvenlik duvarını hedef alan kötü amaçlı etkinliklerin farkına vardık. Bu güvenlik açığı potansiyel olarak bu belirli güvenlik duvarlarına yetkisiz erişimle sonuçlanabilir. Durumu aktif olarak izliyoruz ve bu güvenlik açığını sağlamaya kararlıyız. Müşterilerimize güvende kalmaları için ihtiyaç duydukları desteği sağlıyoruz.”
Şirket, Prisma Access ve Cloud NGFW’nin etkilenmediğine inanıldığını da ekledi.
Uzmanlar, siber güvenlik ekiplerine bu güvenlik açıklarının açığa çıkması riskini hafife almamaları konusunda çağrıda bulunuyor.
Black Duck’ın siber güvenlik uzmanı Ray Kelly, “İşletim sistemi komutası ve SQL enjeksiyonu, yazılımdaki en kritik güvenlik açıkları arasında yer alıyor” diyor. “Tek bir üründe her iki vektör de mevcut olduğunda, bu aslında uygulamayı tamamen açığa çıkarır. Bu güvenlik açıkları onlarca yıldır biliniyor ve çoğu modern Web uygulaması tarama aracı kullanılarak kolayca tespit edilebiliyor.”
Geçen yaz PAN duyurdu Keşif seferi aşamalı olarak sonlandırılıyor ve Ocak 2025 itibarıyla artık desteklenmeyecektir.