Palo Alto Networks’ün PAN-OS yazılımındaki endişe verici zincirleme güvenlik açıkları, saldırganların kimlik doğrulamayı atlayarak yönetici ayrıcalıklarını ele geçirebileceği yönünde endişelere yol açtı.
CVE-2024-0012 olarak tanımlanan ilk güvenlik açığı, yönetim arayüzüne ağ erişimi olan, kimliği doğrulanmamış kullanıcıların ayrıcalıklarını yükseltmesine, yapılandırmaları değiştirmesine veya ikinci hata CVE-2024 dahil olmak üzere diğer ayrıcalık yükseltme güvenlik açıklarından yararlanmasına olanak tanıyan bir kusurdur. -9474.
CVE-2024-9474, istismar işleminin kritik bir parçasıdır ve potansiyel olarak zincirleme saldırı senaryosuna katkıda bulunur. Palo Alto Networks, CVE’yi kabul etse de güvenlik açığının mekanizması hakkında henüz derinlemesine teknik ayrıntılar sunmadı ve bu da spekülasyona yer bıraktı.
Palo Alto Networks, bu sorunları çözmeye yönelik yamaların mevcut olduğunu doğruladı ve “sınırlı bir dizi kullanım faaliyetini takip ettiğini” ve “bilgileri şeffaf ve hızlı bir şekilde paylaşmak için harici araştırmacılar, ortaklar ve müşterilerle birlikte çalıştığını” söyledi.
PAN-OS’a Yönelik Tehdidin Kapsamı
Palo Alto Networks, istismar zincirindeki ana güvenlik açığının (CVE-2024-0012) PAN-OS 10.2, 11.0, 11.1 ve 11.2 sürümlerini etkilediğini açıkladı.
Özellikle Cloud NGFW ve Prisma Access’in etkilenmediği görülüyor. Kuruluşlar, yönetim arayüzüne erişimi en iyi uygulamalara göre güvenilir dahili IP adresleriyle sınırladığında, istismar riski önemli ölçüde azalır.
Bu önlemlere rağmen, Palo Alto Ağ Birimi 42 araştırmacıları sınırlı sayıda yararlanma girişimi tespit etti. “Ay Peek Operasyonu” olarak adlandırılan bu saldırılar, saldırganların komutları etkileşimli olarak yürütmesini ve güvenliği ihlal edilmiş güvenlik duvarlarına web kabukları da dahil olmak üzere kötü amaçlı yazılım dağıtmasını içeriyor.
Ayrıca şunu okuyun: Palo Alto Networks, Müşterilerini Aktif Olarak Kullanılan PAN-OS güvenlik açığına karşı uyarıyor
PAN-OS Saldırısının Kökenleri ve Göstergeleri
Tehdit aktörleri öncelikle anonim VPN hizmetlerine bağlı IP adreslerini kullanarak açığa çıkan yönetim web arayüzlerini hedef aldı. Palo Alto Networks, şüpheli IP’lerin ve ilgili risk göstergelerinin (IOC’ler) ayrıntılı bir listesini yayınlayarak kuruluşların potansiyel tehditleri izlemesine ve azaltmasına olanak tanıdı.
Liste aşağıdaki gibi IP’leri içerir: 91.208.197[.]167 Ve 136.144.17[.]146diğerleri arasında. PHP web kabuğu da dahil olmak üzere bazı kullanım sonrası veriler (SHA256 hash: 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668) da tespit edildi.
Yama Uygulaması Riski Azaltır
Palo Alto Networks, CVE-2024-0012 ve CVE-2024-9474’e yönelik yamalar yayımladı ve etkilenen cihazların hemen güncellenmesini önemle tavsiye ediyor. Kuruluşlar, yetkisiz harici erişimi engellemek için yönetim arayüzüne yalnızca güvenilir dahili IP’lerden erişilebildiğinden emin olmalıdır.
Daha fazla yardıma ihtiyaç duyan kuruluşlar için Palo Alto Networks destek hizmetleri sağlamaktadır. Birim 42 hizmetlisi müşterileri, olay müdahale rehberliği için doğrudan tehdit istihbarat ekibiyle iletişime geçebilir.
Yama Uygulamanın Ötesindeki Azaltmalar
Yönetim arayüzünün güvenliğini sağlamak önemlidir. Palo Alto Networks, aşağıdakileri içeren en iyi uygulama dağıtım yönergelerinin uygulanmasını önerir:
- Güvenilir dahili IP adreslerine erişimi kısıtlama.
- Yönetim arayüzünün internete doğrudan maruz kalmasının önlenmesi.
- Tehdit istihbaratı akışlarını kullanarak IOC’leri sürekli izleme.
Palo Alto Networks, bu istismara karşı toplu savunma önlemlerini güçlendirmek için Siber Tehdit İttifakı (CTA) ile istihbarat paylaştı. CTA üyeleri, korumaları dağıtmak ve tehdit aktörlerini sistematik olarak engellemek için bu verilerden yararlandı.
Kuruluşlar yamaları uygulamak, ağ bölümlendirmesini uygulamak ve önerilen güvenlik yapılandırmalarını benimsemek için derhal harekete geçmelidir. Devam eden güncellemeler ve teknik ayrıntılar için buradan Palo Alto Networks Güvenlik Önerisine bakın. Saldırganlar taktiklerini geliştirirken savunmanızın sağlam kalmasını sağlayın.
İlgili