Bugün Palo Alto Networks, PAN-OS güvenlik duvarındaki yama yapılmamış kritik komut ekleme güvenlik açığının saldırılarda aktif olarak kullanıldığı konusunda uyarıyor.
Palo Alto güvenlik bülteni, “Palo Alto Networks, bu güvenlik açığından yararlanan sınırlı sayıda saldırının farkındadır” diye uyarıyor.
Volexity tarafından keşfedilen ve CVE-2024-3400 olarak takip edilen kusur, istismar edilmesi için herhangi bir özel ayrıcalık veya kullanıcı etkileşimi gerektirmediğinden maksimum 10,0 ciddiyet puanı alan bir komut yerleştirme güvenlik açığıdır.
Satıcı, hem GlobalProtect ağ geçidi hem de cihaz telemetri özellikleri etkinleştirildiğinde sorunun PAN-OS yazılımının belirli sürümlerini etkilediğini açıkladı.
Palo Alto Networks danışma belgesinde şöyle açıklanıyor: “Belirli PAN-OS sürümleri ve farklı özellik yapılandırmaları için Palo Alto Networks PAN-OS yazılımının GlobalProtect özelliğindeki bir komut ekleme güvenlik açığı, kimliği doğrulanmamış bir saldırganın güvenlik duvarında kök ayrıcalıklarıyla rastgele kod yürütmesine olanak sağlayabilir.” .
Güvenlik açığı bulunan sürümler PAN-OS 10.2, 11.0 ve 11.1’dir ve bu sürümlere yönelik düzeltmelerin 14 Nisan 2024’e kadar yapılması beklenmektedir. Satıcı, aşağıdaki sürümlerin yayımlanmasıyla birlikte düzeltmeleri Pazar gününe kadar uygulayacaktır:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Cloud NGFW, Panorama cihazları ve Prisma Access gibi ürünler etkilenmez. Etkiye ilişkin genel bir bakış aşağıdaki tabloda görülebilir:
Tehdit araştırmacısı Yutaka Sejiyama X hakkında rapor edildi taramalarının şu anda CVE-2024-34000’e karşı savunmasız olabilecek 82.000 çevrimiçi cihazın bulunduğunu ve %40’ının Amerika Birleşik Devletleri’nde bulunduğunu gösterdiğini söyledi.
BleepingComputer, sıfır günün nasıl istismar edildiğine ilişkin sorular için Volexity ve Palo Alto Networks ile temasa geçti.
CVE-2024-3400’ün hafifletilmesi
CVE-2024-3400 hali hazırda aktif olarak istismar edildiğinden, etkilenen kullanıcıların, güvenlik güncellemeleri mevcut olana kadar riski gidermek için derhal azaltıcı önlemler uygulaması gerekir.
Danışma belgesi aşağıdaki önlemlerin uygulanmasını önermektedir:
- Etkin ‘Tehdit Önleme’ aboneliğine sahip kullanıcılar, sistemlerinde ‘Tehdit Kimliği 95187’yi etkinleştirerek saldırıları engelleyebilir.
- Kötüye kullanımı önlemek için ‘GlobalProtect Arayüzlerinde’ güvenlik açığı korumasının yapılandırıldığından emin olun. Bununla ilgili daha fazla bilgiyi burada bulabilirsiniz.
- Düzeltme yamaları uygulanana kadar cihaz telemetrisini devre dışı bırakın. Bunun nasıl yapılacağına ilişkin talimatlar bu web sayfasında bulunabilir.
Palo Alto Networks cihazları, kurumsal ağlarda konuşlandırılmaları nedeniyle sıklıkla karmaşık tehdit aktörlerinin hedefi haline geliyor.
Ağustos 2022’de bilgisayar korsanları, güçlendirilmiş TCP hizmet reddi (DoS) saldırıları gerçekleştirmek için PAN-OS’taki bir sıfır günden daha yararlandı.
Bu kez sorun çok daha ciddi ve istismar edilmesi hedeflere çok daha fazla zarar vereceğinden yöneticilerin sistemlerini güvence altına almak için acilen harekete geçmesi gerekiyor.