Palo Alto Networks, yakın zamanda açıklanan ve aktif olarak istismar edilen PAN-OS’yi etkileyen kritik bir güvenlik açığına yönelik iyileştirme kılavuzunu paylaştı.
CVE-2024-3400 (CVSS puanı: 10,0) olarak takip edilen güvenlik açığı, duyarlı cihazlarda kimliği doğrulanmamış uzaktan kabuk komutlarının yürütülmesini sağlamak için silah haline getirilebilir. Bu sorun, PAN-OS 10.2.x, 11.0.x ve 11.1.x’in birden çok sürümünde ele alınmıştır.
Sorunun en az 26 Mart 2024’ten bu yana UTA0218 olarak izlenen bir tehdit kümesi tarafından sıfır gün olarak istismar edildiğini gösteren kanıtlar var.
Kod adı MidnightEclipse Operasyonu olan etkinlik, özel hazırlanmış istekler yoluyla iletilen komutları yürütme kapasitesine sahip UPSTYLE adlı Python tabanlı bir arka kapıyı açmak için kusurun kullanılmasını gerektiriyor.
İzinsiz girişlerin bilinen bir tehdit aktörü veya grubuyla bağlantısı bulunmuyor ancak ticari zanaat ve gözlemlenen mağduriyet göz önüne alındığında, bunun devlet destekli bir bilgisayar korsanlığı ekibi olduğundan şüpheleniliyor.
Palo Alto Networks tarafından sunulan en son iyileştirme tavsiyesi, uzlaşmanın boyutuna dayanmaktadır –
- Seviye 0 Probu: Başarısız yararlanma girişimi – Sağlanan en son düzeltmeye güncelleme
- Seviye 1 Testi: Güvenlik duvarında boş bir dosya oluşturulması ancak yetkisiz komutların çalıştırılmaması da dahil olmak üzere cihazda test edilen güvenlik açığı kanıtı – Sağlanan en son düzeltmeye güncelleme
- Seviye 2 Potansiyel Sızma: “running_config.xml” gibi dosyaların web istekleri yoluyla erişilebilen bir konuma kopyalandığı işaretler – Sağlanan en son düzeltmeye güncelleyin ve Özel Verileri Sıfırlama işlemini gerçekleştirin
- Seviye 3 Etkileşimli erişim: Arka kapıların ve diğer kötü amaçlı kodların girişi gibi etkileşimli komut yürütme kanıtı – Sağlanan en son düzeltmeyi güncelleyin ve Fabrika Sıfırlaması gerçekleştirin
Palo Alto Networks, “Özel veri sıfırlamanın gerçekleştirilmesi, cihaz verilerinin potansiyel olarak kötüye kullanılması riskini ortadan kaldırır” dedi. “Daha fazla istilacı tehdit aktörü faaliyeti olduğuna dair kanıtlar nedeniyle fabrika ayarlarına sıfırlama önerilir.”