Bugün siber güvenlik şirketi Palo Alto Networks, PAN-OS yönetim arayüzündeki olası bir uzaktan kod yürütme güvenlik açığı nedeniyle müşterilerini yeni nesil güvenlik duvarlarına erişimi kısıtlamaları konusunda uyardı.
Cuma günü yayınlanan bir güvenlik tavsiyesinde şirket, iddia edilen bu güvenlik açığıyla ilgili henüz ek bilgiye sahip olmadığını ve henüz aktif istismar belirtileri tespit edemediğini söyledi.
“Palo Alto Networks, PAN-OS yönetim arayüzü aracılığıyla uzaktan kod yürütme güvenlik açığı iddiasının farkında. Şu anda iddia edilen güvenlik açığının ayrıntılarını bilmiyoruz. Herhangi bir kötüye kullanım işaretini aktif olarak izliyoruz.” söz konusu.
“Müşterilerimize, yönetim arayüzünüze erişimin, önerilen en iyi uygulama dağıtım yönergelerimize uygun olarak doğru şekilde yapılandırıldığından emin olmalarını önemle tavsiye ederiz.
“ASM modülüne sahip Cortex Xpanse ve Cortex XSIAM müşterileri, Palo Alto Networks Güvenlik Duvarı Yönetici Girişi saldırı yüzeyi kuralı tarafından oluşturulan uyarıları inceleyerek internete açık örnekleri araştırabilir.”
Şirket, müşterilere internetten güvenlik duvarlarının PAN-OS yönetim arayüzüne erişimi engellemelerini ve yalnızca güvenilir dahili IP adreslerinden gelen bağlantılara izin vermelerini tavsiye etti.
Palo Alto Networks’ün topluluk web sitesindeki ayrı bir destek belgesine göre yöneticiler, yönetim arayüzünün maruz kalmasını azaltmak için aşağıdaki önlemlerden bir veya daha fazlasını da alabilir:
- Yönetim arayüzünü özel bir yönetim VLAN’ında izole edin.
- Yönetim IP’sine erişmek için atlama sunucularını kullanın. Kullanıcılar güvenlik duvarında/Panorama’da oturum açmadan önce kimlik doğrulaması yapar ve atlama sunucusuna bağlanır.
- Gelen IP adreslerini, onaylanmış yönetim cihazlarına yönelik yönetim arayüzünüzle sınırlandırın. Bu, beklenmedik IP adreslerinden erişimi engelleyerek saldırı yüzeyini azaltacak ve çalıntı kimlik bilgileri kullanılarak erişimi engelleyecektir.
- Yalnızca SSH, HTTPS gibi güvenli iletişime izin verin.
- Yalnızca arayüz bağlantısını test etmek için PING’e izin verin.
Saldırılarda yararlanılan kritik eksik kimlik doğrulama hatası
Perşembe günü CISA, Palo Alto Networks Expedition’da CVE-2024-5910 olarak takip edilen kritik bir eksik kimlik doğrulama güvenlik açığından yararlanan devam eden saldırılar konusunda da uyardı. Bu güvenlik açığı Temmuz ayında düzeltildi ve tehdit aktörleri, İnternet’e açık Expedition sunucularındaki uygulama yöneticisi kimlik bilgilerini sıfırlamak için bu açığı uzaktan kullanabilirler.
CISA bu saldırılar hakkında daha fazla ayrıntı sunmasa da Horizon3.ai güvenlik açığı araştırmacısı Zach Hanley, geçen ay “kimliği doğrulanmamış” kazanç elde etmek için onu bir komut enjeksiyon güvenlik açığıyla (CVE-2024-9464 olarak izlenen) zincirleyen bir kavram kanıtı istismarı yayınladı. ” Savunmasız Expedition sunucularında keyfi komut yürütme.
CVE-2024-9464, yönetici hesaplarını ele geçirmek ve PAN-OS güvenlik duvarlarını ele geçirmek için Ekim ayında Palo Alto Networks tarafından ele alınan diğer güvenlik kusurlarıyla da zincirlenebilir.
ABD siber güvenlik kurumu ayrıca CVE-2024-5910 güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekleyerek federal kurumlara sistemlerini 28 Kasım’a kadar üç hafta içinde saldırılara karşı korumalarını emretti.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor” uyarısında bulundu.