CISA Perşembe günü, saldırganların Palo Alto Networks’ün Expedition güvenlik duvarı yapılandırma taşıma aracındaki iki ek güvenlik açığından (CVE-2024-9463, CVE-2024-9465) yararlandığının tespit edildiğini doğruladı.
Güvenlik açıkları hakkında (CVE-2024-9463, CVE-2024-9465)
CVE-2024-9463, kimliği doğrulanmamış saldırganların rastgele işletim sistemi komutlarını çalıştırmasına olanak tanır. kök Güvenlik açığı bulunan Expedition örneklerinde, kullanıcı adlarının, şifresiz metin şifrelerinin, cihaz yapılandırmalarının ve PAN-OS güvenlik duvarlarının cihaz API anahtarlarının açığa çıkmasına neden olur.
Bir SQL enjeksiyon güvenlik açığı olan CVE-2024-9465, kimliği doğrulanmamış saldırganların Expedition veritabanından veri (şifre karmaları, kullanıcı adları, cihaz yapılandırmaları, cihaz API anahtarları) almasına ve savunmasız Expedition sistemlerinde rastgele dosyalar oluşturup okumasına olanak tanır.
Her iki güvenlik açığı da, diğer bazı kusurların yanı sıra, Ekim 2024’ün başlarında Palo Alto Networks tarafından yamandı.
Bunların arasında, Horizon3.ai araştırmacıları tarafından gösterildiği gibi, CVE-2024-5910 (kritik bir işlev için kimlik doğrulamasının eksik olması) ile zincirlenebilen, kimliği doğrulanmış bir komut ekleme hatası olan CVE-2024-9464 de yer alıyor.
CISA geçen hafta yaptığı açıklamada, Temmuz 2024’te PAN tarafından bir yama sağlanan CVE-2024-5910’un da vahşi ortamda kullanıldığını söyledi. (Tek başına mı yoksa başka bir kusurla birlikte mi olduğu şu anda bilinmiyor.)
Ne yapalım?
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna CVE-2024-9463 ve CVE-2024-9465’i eklemesi, ABD federal sivil kurumlarının bunları üç hafta içinde düzeltmesi gerektiği anlamına geliyor.
“Rağmen [Binding Operational Directive (BOD) 22-01] yalnızca şunlar için geçerlidir: [Federal Civilian Executive Branch] CISA, tüm kuruluşlara, güvenlik açığı yönetimi uygulamalarının bir parçası olarak Katalog güvenlik açıklarının zamanında iyileştirilmesine öncelik vererek siber saldırılara maruz kalma durumlarını azaltmalarını şiddetle tavsiye ediyor.”
Palo Alto Networks yöneticilere şunları tavsiye ediyor:
- Expedition kurulumlarını mevcut en son sürüme yükseltin
- Expedition kullanıcı adlarını, şifrelerini ve API anahtarlarını döndürün
- Expedition tarafından işlenen güvenlik duvarı kullanıcı adlarını, şifrelerini ve API anahtarlarını dönüşümlü olarak kullanın
- Expedition’a ağ erişiminin yetkili kullanıcılar, ana bilgisayarlar veya ağlarla sınırlı olduğundan emin olun
- Kullanılmadığı takdirde yazılımı kapatın
Expedition’ın internete açık olmaması gerekir ve genellikle de öyle değildir: Censys yakın zamanda ulaşılabilir Expedition örneklerini aradı ve bunlardan yalnızca 45 tanesini buldu.
PAN güvenlik duvarları belirtilmemiş RCE kusuru nedeniyle saldırı altında
Geçen hafta Palo Alto, sınırlı sayıda kişiye karşı kimliği doğrulanmamış bir uzaktan komut yürütme güvenlik açığından yararlanan tehdit faaliyeti gözlemledikleri için müşterilerini internete açık güvenlik duvarı yönetim arayüzlerini uygun şekilde yapılandırmaya ve bu arayüzlere erişimi güvenli hale getirmeye çağırdı.
“Şu anda paylaşabileceğimiz herhangi bir uzlaşma göstergesi hakkında yeterli bilgiye sahip değiliz. Yönetim arayüzünün İnternet’e maruz kalması durumunda müşteriye, tanınmayan konfigürasyon değişiklikleri veya kullanıcılar gibi şüpheli tehdit faaliyetlerini izlemesini tavsiye ediyoruz” diye tavsiyede bulundu.