Palo Alto Networks bugün müşterilerini, saldırganların PAN-OS güvenlik duvarlarını ele geçirmesine olanak verecek şekilde zincirlenebilecek güvenlik açıklarını (kamuya açık yararlanma koduyla) düzeltmeleri konusunda uyardı.
Kusurlar, diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaların taşınmasına yardımcı olan Palo Alto Networks’ün Expedition çözümünde bulundu.
Güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişmek için bunlardan yararlanılabilir.
Şirket Çarşamba günü yayınlanan bir danışma belgesinde, “Palo Alto Networks Expedition’daki birden fazla güvenlik açığı, bir saldırganın Expedition veritabanı içeriklerini ve rastgele dosyaları okumasının yanı sıra, Expedition sistemindeki geçici depolama konumlarına rastgele dosyalar yazmasına olanak tanıyor.” dedi.
“Birleşik olarak bunlar, kullanıcı adları, açık metin şifreleri, cihaz yapılandırmaları ve PAN-OS güvenlik duvarlarının cihaz API anahtarları gibi bilgileri içerir.”
Bu hatalar, komut ekleme, yansıtılan siteler arası komut dosyası oluşturma (XSS), hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL ekleme güvenlik açıklarının bir birleşimidir:
Kavram kanıtı istismarı mevcut
Hatalardan dördünü bulup bildiren Horizon3.ai güvenlik açığı araştırmacısı Zach Hanley, CVE-2024-5910 güvenlik açığını araştırırken bu kusurlardan üçünü nasıl bulduğunu ayrıntılarıyla anlatan bir temel neden analizi yazısı da yayınladı (şu anda açıklanmıştır ve yamalanmıştır). Temmuz), saldırganların Expedition uygulamasının yönetici kimlik bilgilerini sıfırlamasına olanak tanır.
Hanley ayrıca, savunmasız Expedition sunucularında “kimliği doğrulanmamış” rastgele komut yürütme elde etmek için CVE-2024-5910 yönetici sıfırlama kusurunu CVE-2024-9464 komut ekleme güvenlik açığıyla zincirleyen bir kavram kanıtı istismarı yayınladı.
Palo Alto Networks, saldırılarda güvenlik açıklarından yararlanıldığına dair şimdilik bir kanıt bulunmadığını söylüyor.
Palo Alto Networks bugün şunları ekledi: “Listelenen tüm sorunlara yönelik düzeltmeler Expedition 1.2.96 ve sonraki tüm Expedition sürümlerinde mevcuttur. CVE-2024-9466’dan etkilenen temiz metin dosyası, yükseltme sırasında otomatik olarak kaldırılacaktır.”
“Tüm Expedition kullanıcı adları, şifreleri ve API anahtarları, Expedition’ın sabit sürümüne yükseltildikten sonra değiştirilmelidir. Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarları, güncelleme sonrasında döndürülmelidir.”
Günümüzün güvenlik güncellemelerini hemen dağıtamayan yöneticilerin, Expedition ağ erişimini yetkili kullanıcılar, ana bilgisayarlar veya ağlarla kısıtlaması gerekir.
Nisan ayında şirket, arka kapı PAN-OS güvenlik duvarlarında UTA0218 olarak takip edilen devlet destekli bir tehdit aktörü tarafından Mart ayından bu yana aktif olarak yararlanılan maksimum önem derecesine sahip sıfır gün hatası için düzeltmeler yayınlamaya başladı.