Palo Alto Networks, 26 Mart’tan bu yana arka kapı PAN-OS güvenlik duvarlarında aktif olarak kullanılan sıfır gün güvenlik açığına yönelik düzeltmeler yayınlamaya başladı.
Bu maksimum önem derecesine sahip güvenlik kusuru (CVE-2024-3400), cihaz telemetrisi ve GlobalProtect’in (ağ geçidi veya portal) etkin olduğu PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 güvenlik duvarlarını etkiler.
Kimliği doğrulanmamış tehdit aktörleri, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda komut enjeksiyonu yoluyla kök kod yürütme elde etmek için uzaktan yararlanabilir.
Şirket Cuma günü sıfır günü açıkladığında “Palo Alto Networks bu güvenlik açığından yararlanan sınırlı sayıda saldırının farkındadır” uyarısında bulundu.
Şirket artık PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınlanan düzeltme sürümlerindeki güvenlik kusurunu düzeltti. Önümüzdeki günlerde daha sonraki PAN-OS sürümleri için daha fazla düzeltme kullanıma sunulacak.
Palo Alto Networks’ün tavsiyesine göre Cloud NGFW, Panorama cihazları ve Prisma Access bu güvenlik açığından kaynaklanan saldırılara maruz kalmıyor.
Hala bir düzeltme bekleyen yöneticiler, bir yama dağıtılana kadar güvenlik açığı bulunan cihazlarda cihaz telemetri özelliğini devre dışı bırakabilir. Etkin bir ‘Tehdit Önleme’ aboneliğine sahip olanlar, ‘Tehdit Kimliği 95187’ tehdit önleme tabanlı hafifletmeyi etkinleştirerek devam eden saldırıları da engelleyebilir.
Mart ayından bu yana arka kapı güvenlik duvarlarından yararlanılıyor
Palo Alto Networks’ün aktif istismar uyarısı, sıfır gün kusurunu keşfeden ve bunu Upstyle kötü amaçlı yazılım kullanarak PAN-OS cihazlarına arka kapı açmak, ağları ihlal etmek ve verileri çalmak için kullanan tehdit aktörlerini tespit eden güvenlik firması Volexity tarafından doğrulandı.
Volexity, bu kötü niyetli aktiviteyi UTA0218 kapsamında izliyor ve devam eden bu saldırıların arkasında muhtemelen devlet destekli tehdit aktörlerinin olduğuna inanıyor.
Volexity Cuma günü yaptığı açıklamada, “Yazım sırasında Volexity, faaliyeti diğer tehdit faaliyetleriyle ilişkilendiremedi.” dedi.
“Volexity, bu nitelikteki bir güvenlik açığını geliştirmek ve kullanmak için gerekli kaynaklara, bu aktör tarafından hedeflenen kurban türlerine ve Python arka kapısını yüklemek için gösterilen yeteneklere dayanarak UTA0218’in büyük olasılıkla devlet destekli bir tehdit aktörü olduğunu değerlendiriyor. kurban ağlarına daha fazla erişim.”
Tehdit araştırmacısı Yutaka Sejiyama Cuma günü açıklandı 82.000’den fazla PAN-OS cihazının çevrimiçi ortamda açıkta kaldığını ve CVE-2024-34000 saldırılarına karşı savunmasız olduğunu tespit etti; bunların %40’ı Amerika Birleşik Devletleri’ndeydi.
CISA, Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna CVE-2024-3400’ü ekleyerek federal kurumlara, 19 Nisan’a kadar bir hafta içinde tehdit azaltma kuralını uygulayarak veya telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını emretti.