Palo Alto Networks, Yeni Nesil Güvenlik Duvarları (NGFW) yönetim arayüzlerinde şu anda ‘PAN-SA-2024-0015’ olarak izlenen kritik bir sıfır gün güvenlik açığının saldırılarda aktif olarak kullanıldığı konusunda uyarıyor.
Kusur ilk olarak 8 Kasım 2024’te Palo Alto Networks’ün müşterilerini, kendilerini etkileyen “potansiyel” bir uzaktan kod yürütme (RCE) güvenlik açığı nedeniyle yeni nesil güvenlik duvarlarına erişimi kısıtlamaları konusunda uyarmasıyla açıklandı.
O dönemde herhangi bir istismar belirtisi tespit edilmedi ancak şimdi, yani bir hafta sonra durum değişti.
Danışma sayfasındaki bir güncelleme, “Palo Alto Networks, İnternet’e açık sınırlı sayıda güvenlik duvarı yönetim arayüzüne karşı kimliği doğrulanmamış bir uzaktan komut yürütme güvenlik açığından yararlanan bir tehdit faaliyeti gözlemledi” uyarısında bulunuyor.
Satıcı, aynı bültende “Şu anda, Yönetim Arayüzüne erişimi önerilen en iyi uygulama dağıtım yönergelerimiz uyarınca güvenli hale getirilmeyen cihazların artan risk altında olduğuna inanıyoruz” diye uyarıyor.
CVSS v4.0 puanı 9,3 (“kritik”) olarak derecelendirilen güvenlik açığı uzaktan kullanılabilir ve herhangi bir kimlik doğrulama veya kullanıcı etkileşimi gerektirmez.
İnternete açık bir arayüz tespit edildiğinde saldırgan, güvenlik duvarı üzerinde yetkisiz kontrol elde etmek için özel hazırlanmış bir istek göndererek potansiyel olarak kuralları değiştirmesine, ağ trafiğini yeniden yönlendirmesine veya engellemesine ve güvenlik korumalarını kapatmasına olanak tanıyabilir.
Ne yazık ki satıcı şu anda güvenlik ihlali göstergelerine ilişkin yararlı bir liste oluşturmak için yeterli bilgiye sahip değil ancak aşağıdaki azaltma adımlarını önerdi:
- Güvenlik duvarı yönetim arayüzüne erişimi, yalnızca güvenilen dahili IP adreslerinden erişilebilecek şekilde yapılandırın.
- Kötüye kullanımı önlemek için yönetim arayüzüne tüm internet erişimini engelleyin.
- Erişimin kontrol edildiğinden ve doğrulandığından emin olmak için yönetim arayüzünü güvenli bir ağın veya VPN’nin arkasına yerleştirin.
- Burada bulunan güvenlik yönergelerini inceleyin ve uygulayın.
Tehlikeli RCE hatasının bir hafta önce keşfedilmesine rağmen Palo Alto Networks, etkilenen istemcilerin kullanımına henüz güvenlik güncellemeleri sunmadı.
Palo Alto Networks, “Şu anda yönetim arayüzüne erişimi güvence altına almak önerilen en iyi eylemdir” diyor.
“Tehdit etkinliğini araştırırken, düzeltmeleri ve tehdit önleme imzalarını mümkün olan en kısa sürede yayınlamaya hazırlanıyoruz.”
Tehdit izleme platformu Shadowserver Foundation, bugün erken saatlerde yaklaşık 8.700 açıkta kalan arayüz gördüğünü bildirdi.
Azaltıcı etkenleri doğru şekilde uyguladığınızdan emin olmak için Palo Alto Networks Müşteri Destek Portalı’nın Varlıklar bölümünü ziyaret ederek İnternet’e yönelik yönetim arayüzlerine sahip cihazların bir listesini bulun ve ‘PAN-SA-2025-0015’ ile etiketlenmiş cihazları arayın. ‘
Hiçbiri görünmüyorsa, tarama internete açık herhangi bir yönetim arayüzü tespit etmemiştir. Böyle bir durumda yöneticiler, cihazların güvenliğini sağlamak için belirtilen adımları kullanmalıdır.