Saldırganların, Palo Alto Networks’ün güvenlik duvarlarını etkileyen bir komut yerleştirme güvenlik açığından (CVE-2024-3400) yararlandığı konusunda uyaran şirket, müşterileri geçici önlemleri uygulamaya ve cihazlarının ele geçirilip geçirilmediğini kontrol etmek için iletişime geçmeye çağırdı.
“Palo Alto Networks, bu güvenlik açığından yararlanan sınırlı sayıda saldırının farkındadır” dediler ve sorunu işaretledikleri için Volexity araştırmacılarına teşekkür ettiler.
Güvenlik açığından yararlanma otomatikleştirilebilir.
CVE-2024-3400 Hakkında
CVE-2024-3400, Palo Alto Networks PAN-OS yazılımının GlobalProtect özelliğinde yer alan bir komut yerleştirme güvenlik açığıdır ve kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan güvenlik duvarlarında kök ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilir.
Güvenlik açığı, hem GlobalProtect ağ geçidi hem de cihaz telemetrisi için yapılandırmaların etkin olduğu PAN-OS 11.1, 11.0 ve 10.2 sürümlerini etkiliyor. 14 Nisan 2023’te (Pazar) yayımlanması planlanan 11.1.2-h3, 11.0.4-h1 ve 10.2.9-h1 düzeltmeleriyle düzeltilecektir.
“Güvenlik duvarı web arayüzünüzdeki girişleri kontrol ederek yapılandırılmış bir GlobalProtect ağ geçidinizin olup olmadığını doğrulayabilirsiniz (Ağ > GlobalProtect > Ağ Geçitleri) ve güvenlik duvarı web arayüzünüzü kontrol ederek cihaz telemetrisinin etkin olup olmadığını doğrulayın (Cihaz > Kurulum > Telemetri),” Palo Alto Networks açıkladı.
“Tehdit Önleme aboneliğine sahip müşteriler, Tehdit Kimliği 95187’yi (Uygulamalar ve Tehditler içeriği sürüm 8833-8682’de sunulmuştur) etkinleştirerek bu güvenlik açığına yönelik saldırıları engelleyebilir.”
Ayrıca cihazlarında bu sorunun kötüye kullanılmasını önlemek için GlobalProtect arayüzüne bir güvenlik açığı koruma güvenlik profili uygulamalıdırlar.
Bunlardan herhangi birini yapamazlarsa, aygıt telemetrisini geçici olarak devre dışı bırakarak (ve düzeltme uygulandıktan sonra yeniden etkinleştirerek) bu güvenlik açığının etkisini azaltabilirler.
Şirket, “Müşteriler, cihaz günlüklerinin bu güvenlik açığı için bilinen güvenlik ihlali göstergeleriyle (IoC) eşleşip eşleşmediğini belirlemek için Müşteri Destek Portalı’nda (CSP) bir vaka açabilir ve bir teknik destek dosyası (TSF) yükleyebilir” diye ekledi.