Palo Alto Networks, ürünlerini etkileyen beş güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı; bunlar arasında kimlik doğrulama atlamasına yol açabilecek kritik bir hata da yer alıyor.
CVE-2024-5910 (CVSS puanı: 9,3) olarak kataloglanan güvenlik açığı, Expedition geçiş aracında eksik kimlik doğrulaması durumu olarak tanımlanıyor ve bu durum bir yönetici hesabının ele geçirilmesine yol açabiliyor.
Şirket bir duyuruda, “Palo Alto Networks Expedition’daki kritik bir işlev için kimlik doğrulamanın eksik olması, Expedition’a ağ erişimi olan saldırganlar için bir Expedition yönetici hesabının ele geçirilmesine yol açabilir” dedi. “Bu sorun nedeniyle Expedition’a aktarılan yapılandırma sırları, kimlik bilgileri ve diğer veriler risk altındadır.”
Bu kusur, sorunu çözen 1.2.92 sürümünden önceki tüm Expedition sürümlerini etkiliyor. Synopsys Siber Güvenlik Araştırma Merkezi’nden (CyRC) Brian Hysell, sorunu keşfeden ve bildiren kişi olarak kabul ediliyor.
Bu açığın gerçek hayatta kullanıldığına dair bir kanıt bulunmamakla birlikte, kullanıcıların olası tehditlere karşı korunmak için en son sürüme güncellemeleri önerilir.
Geçici çözüm olarak Palo Alto Networks, Expedition’a ağ erişiminin yetkili kullanıcılar, ana bilgisayarlar veya ağlarla sınırlandırılmasını öneriyor.
Ayrıca Amerikalı siber güvenlik firması, Palo Alto Networks PAN-OS güvenlik duvarı ile bir RADIUS sunucusu arasında kimlik doğrulamayı atlatmak için aracı saldırı (AitM) gerçekleştirme yeteneğine sahip kötü niyetli bir aktörün BlastRADIUS (CVE-2024-3596) adı verilen RADIUS protokolündeki yeni açıklanan bir açığı da düzeltti.
Açıklamada, güvenlik açığının saldırganın “RADIUS kimlik doğrulaması kullanıldığında ve RADIUS sunucu profilinde CHAP veya PAP seçildiğinde ayrıcalıkları ‘süper kullanıcı’ya yükseltmesine” olanak tanıdığı belirtildi.
Aşağıdaki ürünler eksikliklerden etkileniyor:
- PAN-OS 11.1 (sürümler < 11.1.3, fixed in >= 11.1.3)
- PAN-OS 11.0 (sürümler < 11.0.4-h4, fixed in >= 11.0.4-h4)
- PAN-OS 10.2 (sürümler < 10.2.10, fixed in >= 10.2.10)
- PAN-OS 10.1 (sürümler < 10.1.14, fixed in >= 10.1.14)
- PAN-OS 9.1 (sürümler < 9.1.19, fixed in >= 9.1.19)
- Prisma Access (tüm sürümler, düzeltmenin 30 Temmuz’da yayınlanması bekleniyor)
Ayrıca, kimlik doğrulama protokolleri Taşıma Katmanı Güvenliği (TLS) sunmadığından, şifrelenmiş bir tünel tarafından kapsüllenmedikçe ne CHAP ne de PAP’ın kullanılmaması gerektiği belirtildi. TLS tüneliyle birlikte kullanıldıkları durumlarda savunmasız değillerdir.
Ancak, bir RADIUS sunucusu için kimlik doğrulama protokolü olarak PAP ile EAP-TTLS kullanacak şekilde yapılandırılmış PAN-OS güvenlik duvarlarının da saldırıya maruz kalmadığını belirtmekte fayda var.