Palo Alto Networks, Yeni Nesil Güvenlik Duvarlarında (NGFW) aktif olarak kullanılan iki sıfır gün güvenlik açığı için nihayet güvenlik güncellemeleri yayınladı.
CVE-2024-0012 olarak izlenen ilk kusur, PAN-OS yönetimi web arayüzünde bulunan ve uzak saldırganların kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden yönetici ayrıcalıkları elde etmek için kullanabileceği bir kimlik doğrulama atlamasıdır.
İkincisi (CVE-2024-9474), kötü niyetli PAN-OS yöneticilerinin güvenlik duvarında kök ayrıcalıklarıyla eylemler gerçekleştirmesine olanak tanıyan bir PAN-OS ayrıcalık yükseltme güvenlik açığıdır.
CVE-2024-9474 bugün açıklanırken, şirket ilk olarak 8 Kasım’da müşterileri, geçen Cuma günü CVE-2024-0012 olarak etiketlenen potansiyel bir RCE kusuru nedeniyle yeni nesil güvenlik duvarlarına erişimi kısıtlamaları konusunda uyardı.
Şirket bugün her iki sıfır günle ilgili olarak “Palo Alto Networks, ağ dışından gelen internet trafiğine maruz kalan sınırlı sayıda yönetim web arayüzüne karşı bu güvenlik açığından yararlanan tehdit faaliyeti gözlemledi” dedi.
“Palo Alto Networks, İnternet’e veya diğer güvenilmeyen ağlara maruz kalan yönetim web arayüzlerine sahip çok az sayıdaki PAN-OS cihazını belirlemek ve daha da azaltmak için müşterileri aktif olarak izledi ve onlarla birlikte çalıştı.” kusurları hedef alan saldırılar devam ediyor.
Şirket, bu sıfır günlerin yalnızca “çok az sayıda” güvenlik duvarını etkilediğini söylese de, tehdit izleme platformu Shadowserver Cuma günü 8.700’den fazla açığa çıkan PAN-OS yönetim arayüzünü izlediğini bildirdi.
Macnica tehdit araştırmacısı Yutaka Sejiyama ayrıca BleepingComputer’a, Shodan kullanılarak çevrimiçi olarak açığa çıkan Palo Alto PAN-OS yönetim arayüzlerini çalıştıran 11.000’den fazla IP adresi bulduğunu söyledi. Shodan’a göre en savunmasız cihazlar ABD’de bulunuyor ve onu Hindistan, Meksika, Tayland ve Endonezya takip ediyor.
ABD siber güvenlik kurumu, CVE-2024-0012 ve CVE-2024-9474 güvenlik açıklarını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi ve federal kurumlara 9 Aralık’a kadar üç hafta içinde sistemlerine yama yapmalarını emretti.
Kasım ayı başlarında CISA ayrıca, Palo Alto Networks Expedition güvenlik duvarı yapılandırma geçiş aracındaki kritik bir eksik kimlik doğrulama güvenlik açığından (CVE-2024-5910) yararlanan devam eden saldırılar konusunda da uyarıda bulundu; bu kusur, Temmuz ayında tehdit aktörlerinin uygulama yöneticisini sıfırlamak için bu güvenlik açığından uzaktan yararlanabileceği bir kusurdur. İnternet’e açık Expedition sunucularındaki kimlik bilgileri.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor” diye uyarıyor.