Palo Alto Networks, PAN-OS güvenlik duvarlarında sıfır gün güvenlik açığı (CVE-2024-3400) için kritik yamalar yayınlıyor. Saldırganlar tarafından Python arka kapılarını dağıtmak için kullanılan bu kusur, root erişimi sağlar. Hemen güncelleyin!
Zamana karşı yarışan Palo Alto Networks, güvenlik duvarlarını siber saldırılara maruz bırakma tehdidi oluşturan 0 günlük (veya sıfır gün) kritik bir güvenlik açığı (CVE-2024-3400) için yamalar yayınladı.
Palo Alto Networks’ün güvenlik tavsiyesine göre güvenlik açığı, PAN-OS işletim sisteminin GlobalProtect işlevselliğinde, cihaz telemetri verilerini işleme biçimiyle ilgili olarak bulundu.
Bir saldırgan, telemetri verileri olarak gizlenen kötü amaçlı bir veri yükü oluşturarak bu kusurdan yararlanabilir. Güvenlik duvarı tarafından işlendikten sonra yük, kök ayrıcalıklarıyla rastgele kod çalıştırabilir ve bu da saldırgana cihaz üzerinde tam kontrol sağlar.
Hangi Cihazlar Savunmasız?
GlobalProtect’in etkin olduğu ve cihaz telemetrisinin etkin olduğu cihazlar savunmasız olarak ilan edildi. Shodan’ın açıktaki Nesnelerin İnterneti (IoT) cihazlarına yönelik arama motoru, Palo Alto Networks’ün potansiyel olarak etkilenmiş internete açık yaklaşık 41.336 cihazını ortaya çıkarıyor.
SecurityWeek, bazı saldırganların yeni bir Python arka kapısı olan Upstyle’ı dağıtmaya çalışmasıyla birlikte birçok kuruluşun hedefleme kurbanı olduğunu bildiriyor.
Olası Tehlikeler
Diğer tüm güvenlik açıkları gibi bu da bilgisayar korsanlarının arka kapıları istismar etmesine ve oluşturmasına, yan saldırılar başlatmasına, hassas verileri çalmasına ve ağ operasyonlarını aksatmasına olanak tanır. Tehdit aktörleri ayrıca kalıcı erişim noktaları oluşturabilir, ele geçirilen güvenlik duvarını sıçrama tahtası olarak kullanabilir ve gizli bilgilere erişim sağlayabilir.
Ek olarak, bilgisayar korsanlarının güvenlik duvarının işlevselliği üzerinde tam kontrol sahibi olmasına olanak tanıyarak ağ kesintilerine veya trafiğin manipülasyonuna yol açabilir.
Algılama ve Yama Uygulaması:
İyi haber şu ki, güvenlik açığı nispeten hızlı bir şekilde tespit edildi ve yamalandı. Güvenlik firması Volexity, istismarın kullanımda olduğunu ilk kez Mart 2024’ün sonlarında tespit etti ve bir tehdit aktörü UTA0218’in bir güvenlik duvarı cihazından uzaktan yararlandığını gözlemledi.
Araştırmacılar ayrıca tehdit aktörünün nasıl bir ters kabuk oluşturduğunu, ek araçlar indirdiğini ve onu yatay hareket için bir giriş noktası olarak kullanmak üzere yapılandırma verilerini dışa aktardığını da gözlemledi. Volexity, PAN-OS 10.2, 11.0 ve 11.1 sürümlerindeki güvenlik açığını gidermek için güvenlik uyarıları ve düzeltmeler yayınlayan Palo Alto Networks’ü hızla uyardı.
Palo Alto Networks, müşterilerin Tehdit Önleme tabanlı azaltmayı hemen uygulayamaması durumunda, cihaz sorunu gideren bir PAN-OS sürümüne güncellenene kadar cihaz telemetrisini geçici olarak kapatarak güvenlik açığının etkisini azaltabileceğinizi öne sürüyor.
“Şu anda Tehdit Önleme tabanlı azaltmayı uygulayamıyorsanız, cihaz sabit bir PAN-OS sürümüne yükseltilene kadar cihaz telemetrisini geçici olarak devre dışı bırakarak bu güvenlik açığının etkisini yine de azaltabilirsiniz. Yükseltildikten sonra cihaz telemetrisinin cihazda yeniden etkinleştirilmesi gerekir. Güvenlik duvarları Panorama tarafından yönetiliyorsa ilgili şablonlarda (Panorama > Şablonlar) cihaz telemetrisinin devre dışı bırakıldığından emin olun.”
Palo Alto Ağları
Saldırıların Arkasında Kim Vardı?
Volexity’nin blog gönderisine göre, sıfır gün saldırısı son derece karmaşıktı ve belirli yapılandırmaları hedef alıyordu; bu da, iyi kaynaklara sahip, devlet destekli, net bir hedefi olan bir saldırganın olaya dahil olabileceğini gösteriyor.
İlk atıf girişimleri, kritik altyapı kuruluşlarını hedef alan, Kuzey Kore ve BianLian ile bağlantılı olduğuna inanılan kötü şöhretli bir bilgisayar korsanlığı grubu olan Lazarus Group’u işaret ediyor. Yine de Palo Alto Networks, tüm kullanıcıların PAN-OS yazılımlarını derhal güncellemelerini istedi.
İLGİLİ KONULAR
- Bilgisayar korsanları, Fortinet VPN kullanıcılarının oturum açma verilerini düz metin olarak saklıyor
- Palo Alto Networks çalışanlarının özel bilgileri internete sızdırıldı
- Cisco Yüksek Önem Derecesinde Kod Yürütme ve VPN Ele Geçirme Kusurlarını Düzeltiyor