Dalış Özeti:
- Palo Alto Networks ve güvenlik araştırmacıları, giderek artan sayıda saldırganın, güvenlik sağlayıcısının güvenlik duvarı ürünlerine güç sağlayan PAN-OS işletim sistemindeki komut ekleme güvenlik açığını hedeflediğini söyledi.
- Şirketin Birim 42 tehdit istihbarat ekibi Salı günü yaptığı açıklamada, “Palo Alto Networks, bu güvenlik açığından yararlanan artan sayıda saldırının farkındadır” dedi. orijinal tehdit özetiyle ilgili güncelleme. Satıcı kaç cihazın aktif olarak istismar edildiğini açıklamadı ancak 20 ek IP adresinin istismar girişiminde bulunduğunu gözlemlediğini söyledi CVE-2024-3400.
- Cuma günü ilk tavsiye niteliğindeki duyuruyu yayınladıktan sonra şirket, CVE’den etkilenen PAN-OS sürümlerinin yelpazesini genişletti ve ikincil bir azaltma eylemini geri çekti. “Telemetriyi devre dışı bırakmak artık etkili bir hafifletme yöntemi değil. Şirket, bir güncellemede PAN-OS güvenlik duvarlarının bu güvenlik açığıyla ilgili saldırılara maruz kalması için cihaz telemetrisinin etkinleştirilmesine gerek olmadığını belirtti.
Dalış Bilgisi:
Güvenlik açığından etkilenen Palo Alto Networks cihazlarının genişletilmiş grubu ve açıklardan yararlanma girişimleri ve saldırıların artan hızı, birden fazla üçüncü tarafın CVE’ye ilişkin kavramların kanıtlarını kamuya açıklamasının ardından meydana geldi.
Etkilenen Palo Alto Networks cihazlarının 156.000’den fazla örneği halka açık olarak internete bağlı ve potansiyel olarak açıklardan yararlanmaya açık durumda. Shadowserver Vakfı verileri. Bu cihazlardan kaçının yamalandığı bilinmiyor.
CVE-2024-3400 kimliği doğrulanmamış bir saldırganın kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanır ve bazı PAN-OS cihazlarındaki GlobalProtect ağ geçidi veya portal VPN özelliğini etkiler. Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2024-3400’ü kendi listesine ekledi bilinen istismar edilen güvenlik açıkları kataloğu Cuma gününde.
Palo Alto Networks, bu güvenlik açığına, güvenlik açığının maksimum ciddiyeti olan 10 CVSS puanı atadı. Şirket ilk yamaları yayınladı Etkilenen cihazlardan bazıları için Pazar günü. Şirket, etkilenen PAN-OS cihazlarının eski sürümleri için yamaların perşembe ve cuma günü yayınlanmasını planlıyor.
Bir Palo Alto Networks sözcüsü e-posta yoluyla şunları söyledi: “Güvenlik açığını öğrendikten sonra, etkilenen müşterileri derhal bilgilendirdik ve onları sorunu tam olarak çözen bir düzeltme konusunda bilgilendirdik.” “Müşterilerimizin bunu mümkün olan en kısa sürede uygulamasını şiddetle tavsiye ediyoruz.”
Rapid7 araştırmacıları, yamayı işletim sisteminin etkilenen sürümlerinden biri olan PAN-OS 10.2.9 üzerinde test etti ve istismarın başarılı bir şekilde önlendiğini söyledi. Rapid’in güvenlik açığı istihbaratı direktörü Caitlin Condon7. Firma, gerçek dünya ortamlarında güvenlik açığından aktif olarak yararlanıldığını gözlemlememiştir.
Tehdit istihbaratı firması Volexity, başlangıçta sıfır gün açıklarını keşfetti 10 Nisan’da, daha sonra birden fazla müşteri ortamında başarılı bir şekilde yararlanmanın 26 Mart gibi erken bir tarihte başladığı belirlendi.
Palo Alto Ağları sıfır gün istismarlarına atfedildi Şirket, MidnightEclipse Operasyonu olarak tanımladığı ulus devlete bağlı bir gruba bağlı olduğunu, ancak bu grup ile IP adresleri ve ek istismar girişimleriyle ilişkili diğer göstergeler arasında net bir bağlantı olmadığını söyledi.
Rapid7 araştırmasına göre bu istismar aynı zamanda henüz belirlenmemiş ikinci bir güvenlik açığıyla da bağlantılı.
“Rapid7’nin bu güvenlik açığına ilişkin analizi, istismarın aslında iki farklı güvenlik açığından oluşan bir yararlanma zinciri olduğunu belirledi: GlobalProtect web sunucusunda kendisine ayrı bir CVE atanmamış rastgele bir dosya oluşturma güvenlik açığı ve bir komut enjeksiyon güvenlik açığı. Rapid7 araştırmacıları, CVE-2024-3400 olarak adlandırılan cihaz telemetri özelliğinin Salı blog yazısı.
GreyNoise araştırmacıları Çarşamba günü benzer bir keşifte bulunduklarını söyledi ve şu sonuca vardılar: “CVE-2024-3400’ün istismar edilmesi ancak şu anda izlenmeyen, dizin geçişine ve rastgele dosya adı yazmaya izin veren CVE güvenlik açıklarının kullanılmasıyla mümkündür.”
GreyNoise verileri Salı günü CVE-2024-3400’ün üç kez istismar edilmeye çalışıldığını gösteriyor ve Perşembe günü 11 istismar girişimi.
Açıklardan yararlanmalar ve bunun sonucunda ortaya çıkan açığa çıkma, kurumsal ortamlardaki ağ cihazlarını ve güvenlik donanımını hedef alan yeni bir saldırı dizisine işaret ediyor. Finansal motivasyona sahip ve ulus devlet bağlantılı saldırganlar, tarafından satılan cihazlardaki güvenlik açıklarından geniş ölçüde yararlandı. Citrix, İvanti Ve Baraküda geçen yıl boyunca.