Palo Alto Networks Expedition Aracındaki Güvenlik Açığı, Güvenlik Duvarı Kimlik Bilgilerini Açığa Çıkarıyor

Palo Alto Networks’ün Expedition taşıma aracında, kullanıcı adları, şifresiz metin şifreleri, cihaz yapılandırmaları ve API anahtarları da dahil olmak üzere hassas güvenlik duvarı kimlik bilgilerini açığa çıkarabilecek çok sayıda güvenlik açığı keşfedildi.

Bu güvenlik açıkları, aracı güvenlik duvarı geçişi ve optimizasyonu için kullanan kuruluşlar için önemli riskler oluşturur.

Eskiden Geçiş Aracı olarak bilinen Expedition, yapılandırmaların üçüncü taraf güvenlik duvarlarından Palo Alto Networks’ün Yeni Nesil Güvenlik Duvarı (NGFW) platformuna taşınmasına yardımcı olmak için tasarlanmış ücretsiz bir yardımcı programdır.

Ancak geçişler sırasında yalnızca geçici kullanıma yöneliktir ve üretim ortamları için önerilmez. Araç, 31 Aralık 2024’te Kullanım Ömrünün Sonuna (EoL) ulaştı.

Güvenlik Açıklarının Ayrıntıları

CVE-2025-0103 ile CVE-2025-0107 arasındaki CVE tanımlayıcıları altında takip edilen güvenlik açıkları şunları içerir:

CVE-2025-0103 (CVSS 7.8): Bir SQL enjeksiyon güvenlik açığı, kimliği doğrulanmış saldırganların Expedition veritabanına erişmesine olanak tanıyarak parola karmaları ve cihaz yapılandırmaları gibi hassas bilgileri açığa çıkarır. Ayrıca saldırganların sistemde rastgele dosyalar oluşturmasına veya okumasına da olanak tanır.

CVE-2025-0104 (CVSS 4.7): Yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, saldırganların kimliği doğrulanmış bir kullanıcının tarayıcısında kötü amaçlı JavaScript çalıştırmasına izin vererek kimlik avı saldırılarına veya oturum hırsızlığına olanak tanıyabilir.

CVE-2025-0105 (CVSS 2.7): Rastgele dosya silme güvenlik açığı, kimliği doğrulanmayan saldırganların, Expedition sisteminin “www-data” kullanıcısı tarafından erişilebilen dosyaları silmesine olanak tanır.

CVE-2025-0106 (CVSS 2.7): Joker karakter genişletme güvenlik açığı, kimliği doğrulanmamış saldırganların sistemdeki dosyaları numaralandırmasına izin verir.

CVE-2025-0107 (CVSS 2.3): Bir işletim sistemi komut ekleme güvenlik açığı, kimliği doğrulanmış saldırganların “www-data” kullanıcısı olarak rastgele işletim sistemi komutları yürütmesine olanak tanır ve hassas güvenlik duvarı kimlik bilgilerini açık metin olarak açığa çıkarır.

Bu güvenlik açıkları, Palo Alto Networks güvenlik duvarlarını, Panorama cihazlarını, Prisma Access dağıtımlarını veya Cloud NGFW’leri doğrudan etkilemez. Ancak Expedition’ın savunmasız sürümlerini çalıştıran sistemlerin güvenliğini önemli ölçüde tehlikeye atıyorlar.

Palo Alto Networks, Expedition 1.2.101 ve sonraki sürümlerinde bu sorunları gideren yamalar yayımladı. Kuruluşların, araç aracılığıyla işlenen tüm kimlik bilgilerini derhal yükseltmeleri ve döndürmeleri isteniyor.

Ayrıca, ağ erişiminin yetkili kullanıcılarla kısıtlanması ve kullanılmayan Expedition bulut sunucularının kapatılması, riskleri azaltmak için kritik adımlardır.

Henüz aktif istismara dair bir kanıt bulunmamakla birlikte, benzer güvenlik açıklarına yönelik kavram kanıtı istismarlarının varlığı, gelecekteki potansiyel saldırılara ilişkin endişeleri artırmaktadır.

Expedition’a güvenen kuruluşlar, sistemlerini güvence altına almak ve yetkisiz erişimi önlemek için hızlı hareket etmelidir.

Expedition EoL’ye ulaştığından, kullanıcılara Palo Alto Networks’ün güvenlik duvarı geçişi ve politika optimizasyonu için önerdiği alternatif araçlara geçiş yapmaları tavsiye ediliyor.

Bu keşif, güvenlik duvarı geçişleri gibi kritik süreçler sırasında hassas verileri işleyen Expedition gibi geçici araçların güvenliğinin sağlanmasının öneminin altını çiziyor.

ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free