Palo Alto Networks, PAN-OS işletim sisteminde CVE-2024-3400 olarak tanımlanan kritik bir güvenlik açığını açıkladı.
GlobalProtect Gateway’de bulunan bu sıfır gün kusuru şu anda saldırganlar tarafından aktif olarak istismar ediliyor.
CVE-2024-3400, saldırganların etkilenen sistemlerde uygun kimlik doğrulaması olmadan rastgele işletim sistemi komutları yürütmesine olanak tanır.
Tehdit aktörleri artık PoC’nin yayınlanmasının ardından bu Palo Alto ZeroDay’i aktif olarak kullanıyor.
Palo Alto ZeroDay İstismar Edildi
Araştırmacılar güvenlik açıklarını belirlediler ve üç gün içinde GlobalProtect için Palo Alto VPN-SSL çözümlerini hedef alan bir istismar geliştirdiler.
WatchTowr, komut enjeksiyonunda POST isteği yoluyla “…/ssl-vpn/hipreport.esp” adresine PoC gönderilmesine neden olan bir yol geçiş hatasını açıkladı.
Web kabuklarını cron işleri olarak bırakabilecek SESSID çerezi aracılığıyla komut enjeksiyonuna izin verir.
Rapid7 ve WatchTowr’un PoC’leri hızla yayıldı, bunu TrustedSec ve ShadowServer bazı gerçek saldırılar hakkında rapor ederken, daha önceki PoC’lerden bazıları sahte veya kötü amaçlıydı.
Palo Alto çözümleri yeterince denetlenmediği için yakın gelecekte yaygın saldırılar bekliyoruz.
Palo Alto, risk düzeyini 5 üzerinden 5’e (CVE-2024-3400) yükselterek ya yamaların uygulanmasını ya da karşı önlem olarak belirli Tehdit Önleme imzalarının yapılandırılmasını gerektirdi.
Bu değişiklik, komut yürütme girişimleri nedeniyle cihazların aşırı yüklenmesini önlemeye yardımcı olacaktır. Orijinal tehdit aktörüne değil, esas olarak güncel güvenlik açıklarına odaklanan ek IOC ve CLI komutlarını paylaştılar.
Onyphe, GlobalProtect sürümlerini tanımlamaya yardımcı olabilecek ve yama onaylama etkinliğine yardımcı olabilecek bir sorgu aracı geliştirdi. Ancak bu, savunmasız sunucuları tehdit aktörlerine maruz bırakacaktır.
EmergingThreats, WatchTowr PoC kullanımını tespit etmek için açıkça tasarlanmış bir Suricata kuralını açıkladı. Rapid7 sürekli olarak istismar girişimlerini gözlemledi ve bunları birden fazla günlük aracılığıyla belgeledi.
Palo Alto, 14 Nisan’da kritik 0 günlük CVE-2024-3400 için yamalar yayınladı ve etkilenen şubeler için üç düzeltme mevcut. 19 Nisan’da eski sürümlere yönelik yamalar yayınlanacak.
MidnightEclipse adı verilen hedefli bir kampanyaya işaret eden başka bir toplu uzlaşma, rakipler tarafından yönlendirilmedi.
Volexity, saldırganın “update.py” adlı bir Python arka kapısını ve değerli verileri sızdırmak için tasarlanmış ek yükleri kullanarak dahili sistemlere yanal olarak geçiş yaptığını tespit etti.
Bazı altyapılar hala çevrimiçi olsa da, kesin bir kamuya açık PoC mevcut değildir ve uzman araştırmacılar, ileri düzey araştırmalar için yamalı 0day’ı kullanabilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.