Palo Alto Networks, aktif olarak istismar edilen PAN-OS yazılımını etkileyen maksimum önem derecesine sahip bir güvenlik kusurunu gidermek için düzeltmeler yayınladı.
CVE-2024-3400 (CVSS puanı: 10,0) olarak takip edilen kritik güvenlik açığı, kimliği doğrulanmamış bir saldırganın güvenlik duvarında kök ayrıcalıklarıyla rastgele kod yürütmek için silah olarak kullanabileceği GlobalProtect özelliğindeki bir komut enjeksiyonu durumudur.
Eksikliğe yönelik düzeltmeler aşağıdaki sürümlerde mevcuttur –
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1 ve
- PAN-OS 11.1.2-h3
Yaygın olarak dağıtılan diğer bakım sürümlerine yönelik yamaların önümüzdeki birkaç gün içinde yayınlanması bekleniyor.
Şirket, güncellenen tavsiye belgesinde “Bu sorun yalnızca GlobalProtect ağ geçidi veya GlobalProtect portalı (veya her ikisi) ve cihaz telemetrisi etkinleştirilmiş şekilde yapılandırılmış PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 güvenlik duvarları için geçerlidir” açıklamasını yaptı.
Ayrıca Cloud NGFW güvenlik duvarlarının CVE-2024-3400’den etkilenmediğini ancak buluttaki müşteriler tarafından dağıtılan ve yönetilen güvenlik duvarı VM’lerinin belirli PAN-OS sürümlerinin ve farklı özellik yapılandırmalarının etkilendiğini söyledi.
Bu kusurdan yararlanan tehdit aktörünün kesin kökeni şu anda bilinmiyor ancak Palo Alto Networks Birim 42, kötü niyetli etkinliği MidnightEclipse Operasyonu adı altında izliyor.
Bunu UTA0218 adlı bir kümeye atfeden Volexity, CVE-2024-3400’ün en az 26 Mart 2024’ten bu yana güvenlik duvarında özel olarak rastgele komutların yürütülmesine izin veren UPSTYLE adlı Python tabanlı bir arka kapı sunmak için kullanıldığını söyledi. hazırlanmış istekler.
İstismarın ne kadar yaygın olduğu belli değil, ancak tehdit istihbarat firması “savunmasız sistemleri belirlemeyi amaçlayan daha yaygın istismarı içeren potansiyel keşif faaliyetine dair kanıtlar” bulunduğunu söyledi.
Bugüne kadar belgelenen saldırılarda, UTA0218’in ters kabukları başlatmak, PAN-OS yapılandırma verilerini sızdırmak, günlük dosyalarını kaldırmak ve GOST (GO Basit Tünel) adlı Golang tünel açma aracını dağıtmak için ek yükler dağıttığı gözlemlendi.
Kurban ağlarına başka hiçbir kötü amaçlı yazılım veya kalıcılık yönteminin yerleştirildiği söylenmiyor, ancak bunun tasarımdan mı yoksa erken tespit ve müdahaleden mi kaynaklandığı bilinmiyor.