Palo Alto Networks Pan-OS yazılımında, yeni açıklanan komut enjeksiyon güvenlik açığı (CVE-2025-4230), kimlik doğrulamalı yöneticilerin kısıtlamaları atlamasını ve kök ayrıcalıklarıyla keyfi komutlar yürütmelerini sağlar.
CVSS V4.0 puanı 5.7 (orta şiddet) ile bu kusur, ağ güvenlik cihazları için ayrıcalıklı erişim yönetimindeki riskleri vurgular.
Güvenlik Açığı Genel Bakış ve Saldırı Vektörü
Güvenlik açığı, OS komutlarındaki (CWE-78) özel elemanların uygunsuz nötralizasyonundan kaynaklanır ve kimlik doğrulamalı yöneticilerin komut enjeksiyonu için PAN-OS CLI’sinden yararlanmasına izin verir (CAPEC-248).
.png
)
CLI erişimi olan saldırganlar, kökten ayrıcalıkları artırabilir ve şunları etkinleştirebilir:
- Keyfi dosya sistemi değişiklikleri
- Yetkisiz hizmet aksamaları
- Yanal ağ hareketi
Saldırı vektörü yerel (AV: L CVSS 4.0’da), yüksek ayrıcalıklar (PR: H) ancak kullanıcı etkileşimi yok (UI: N).
Orta şiddetine rağmen, gizlilik, dürüstlük ve kullanılabilirlik için etki puanlarının hepsi YÜKSEK (VC: H/VI: H/VA: H).
Etkilenen ürünler ve azaltma stratejileri
Güvenlik açığı PAN-OS sürümlerini etkiler:
| Pan-OS Sürümü | Etkilenen yapılar | Sabit yapılar |
|---|---|---|
| 11.2 | <11.2.6 | ≥ 11.2.6 |
| 11.1 | <11.1.10 | ≥ 11.1.10 |
| 10.2 | <10.2.14 | ≥ 10.2.14 |
| 10.1 | <10.1.14-h15 | ≥ 10.1.14-h15 |
Bulut NGFW ve Prisma erişimi etkilenmez.
Palo Alto Networks, hiçbir geçici çözüm olduğu için hemen yükseltmeleri önerir.
Eski sistemler için, CLI’nin temel personele erişimini kısıtlamak, sömürü olasılığını azaltır.
Teknik analiz ve endüstri yanıtı
Kusurun CVSS-BT 8.4 puanı, önemli temel tehditleri ortaya koyuyor. yüksek Çevresel Sömürülebilirlik (E: U) ve kehribar aciliyet (u: kehribar).
Temel teknik ayrıntılar şunları içerir:
- Saldırı Karmaşıklığı: Düşük (AC: L)
- Olgunluktan istismar: Haziran 2025 itibariyle bildirilmedi
- CPE etkisi: 11.x ve 10.x PAN-OS yapıları (örneğin,
cpe:2.3:o:palo_alto_networks:pan-os:11.2.5)
Visa Inc., koordineli açıklamayı tetikleyerek güvenlik açığını keşfetti ve bildirdi.
Aktif sömürü belgelenmemiş olsa da, kök erişimi ve CLI maruziyeti kombinasyonu kritik bir risk yüzeyi oluşturur.
Ağ yöneticileri, PAN-OS denetim günlüklerini kullanarak kullanıcı ayrıcalıklarını denetlemeli ve anormal CLI aktivitesini izlemelidir.
Bu olay, ağ güvenlik altyapısında titiz erişim kontrollerine duyulan ihtiyacın altını çizmektedir.
Tehdit aktörleri giderek daha fazla avantajlı cihazları hedefledikçe, yama disiplinini korumak ve idari saldırı yüzeylerini en aza indirmek çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin