Palo Alto Networks, PAN-OS yazılımında, saldırganların özel hazırlanmış ağ paketleri kullanarak güvenlik duvarlarını beklenmedik yeniden başlatmalara zorlamasına olanak tanıyan bir hizmet reddi güvenlik açığını açıkladı.
CVE-2025-4619 olarak takip edilen kusur, PA Serisi ve VM Serisi güvenlik duvarlarının yanı sıra Prisma Access dağıtımlarında çalışan birden fazla PAN-OS sürümünü etkiliyor.
Güvenlik açığı, kimliği doğrulanmamış saldırganların, veri düzlemi üzerinden kötü amaçlı paketler göndererek güvenlik duvarının yeniden başlatılmasını tetiklemesine olanak tanır.
Daha da endişe verici olanı, tekrarlanan istismar girişimlerinin, etkilenen güvenlik duvarını bakım moduna geçirebilmesi, ağ güvenliği operasyonlarını etkili bir şekilde kesintiye uğratabilmesi ve kuruluşları kesinti sırasında olası saldırılara karşı savunmasız bırakabilmesidir.
Palo Alto Networks’ün 12 Kasım 2025’te yayınlanan güvenlik tavsiyesine göre sorun, URL proxy işleviyle veya şifre çözme politikasıyla yapılandırılmış güvenlik duvarlarını açıkça etkiliyor.
Özellikle, trafik açık şifre çözme veya şifre çözmeme politikalarıyla eşleşmediğinde bile güvenlik açığından yararlanılabilir ve bu standart yapılandırmaları çalıştıran etkilenen kuruluşlar için saldırı yüzeyi önemli ölçüde genişletilir.
Kusur, CVSS 4.0 çerçevesi kapsamında 8,7 temel puanla 6,6 (Orta şiddette) CVSS puanı taşıyor.
Güvenlik açığı, ürün kullanılabilirliği etkisi yüksek ve saldırı karmaşıklığı düşük olarak sınıflandırılıyor.
Hiçbir kullanıcı etkileşimi veya ayrıcalığı gerektirmediğinden, internetten veya güvenilmeyen ağlardan erişilebilen açık sistemler için onu özellikle tehlikeli hale getirir.
Etkilenen sürümler, belirli PAN-OS 10.2, 11.1 ve 11.2 sürümleri de dahil olmak üzere birden fazla PAN-OS sürümünü kapsar.
PAN-OS 10.1, 11.2.5 veya üzerini ve en son PAN-OS 12.1 sürümlerini çalıştıran kuruluşlar bu güvenlik sorunundan etkilenmez. Bulut NGFW dağıtımları da bu özel kusura karşı savunmasız değildir.
Palo Alto Networks, güvenlik duvarından yararlanmanın, kurumsal ortamlarda içerik filtreleme ve SSL denetimi için standart yapılandırmalar olan bir URL proxy’sine veya bir şifre çözme politikasının yapılandırılmış olmasını gerektirdiğini vurguladı.
Bu gereklilik kapsamı sınırlamaktadır ancak yine de dünya çapında bu güvenlik özelliklerine dayanan önemli sayıda üretim dağıtımını etkilemektedir.
Şirket, Prisma Access müşterilerini korumak için halihazırda proaktif önlemler almış ve kullanıcıların büyük çoğunluğu için güvenlik yükseltmelerini tamamlamıştır.
Planlama çakışmaları veya bakım dönemi sorunlarıyla karşı karşıya kalan kalan müşteriler, kapsamlı koruma sağlamak için standart yükseltme süreci aracılığıyla derhal yükseltilecektir.
Tavsiye tarihi itibarıyla Palo Alto Networks, vahşi ortamda aktif kötü niyetli istismara dair hiçbir kanıt bildirmedi.
Ancak şirket, istismar olgunluğunu “bildirilmemiş” olarak sınıflandırdı ve orta düzeyde bir düzeltme aciliyeti derecesi verdi.
Etkilenen PAN-OS sürümlerini kullanan kuruluşların, olası hizmet kesintilerini önlemek için önerilen sabit sürümlere yama uygulamasına öncelik vermesi gerekir.
PAN-OS 11.2 şubesi için 11.2.2-h2, 11.2.3-h6, 11.2.4-h4 veya 11.2.5 ve sonraki sürümlere yükseltme yapmak sorunu çözer. PAN-OS 11.1 kullanıcılarının koruma için 11.1.2-h18 veya üzeri sürümlere geçmesi gerekir.
Açıklamada, ağ altyapısı cihazlarının karşılaştığı devam eden güvenlik zorlukları vurgulanıyor ve mevcut yama seviyelerinin korunmasının önemi vurgulanıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.