Palo Alto Networks, PAN-OS yazılımında saldırganların yönetim web arayüzünde kimlik doğrulamasını atlamasına izin verebilecek kritik bir güvenlik açığı (CVE-2025-010) açıkladı.
8.8 CVSS taban puanı atanan bu kusur, PAN-OS’nin etkilenen sürümlerini kullanan kuruluşlar için önemli bir risk oluşturmaktadır.
Güvenlik açığı, PAN-OS yönetimi web arayüzünde bir kimlik doğrulama baypas sorunundan kaynaklanmaktadır. Arayüze ağ erişimi olan kimlik doğrulanmamış bir saldırgan, uygun kimlik doğrulaması olmadan belirli PHP komut dosyalarını çağırmak için bu kusuru kullanabilir.
Bu, uzaktan kod yürütülmesine izin vermese de, sistemin bütünlüğünü ve gizliliğini tehlikeye atabilir.
Sorun, CWE-306 (kritik işlev için eksik kimlik doğrulama) ve CAPEC-115 (kimlik doğrulama bypass) olarak sınıflandırılmıştır. Palo Alto Networks, bu güvenlik açığının bulut NGFW veya Prisma Access çözümlerini etkilemediğini vurguladı.
Etkilenen sürümler
Güvenlik açığı PAN-OS’nin belirli sürümlerini etkiler:
| Pan-OS Sürümü | Etkilenen | Etkilenmemiş |
|---|---|---|
| Pan-OS 11.2 | <11.2.4-h4 | > = 11.2.4-h4 |
| Pan-OS 11.1 | <11.1.6-h1 | > = 11.1.6-h1 |
| Pan-Oos 10.2 | <10.2.13-h3 | > = 10.2.13-h3 |
| Pan-Oos 10.1 | <10.1.14-h9 | > = 10.1.14-h9 |
PAN-OS sürüm 11.0, 17 Kasım 2024 itibariyle Yaşam Sonuna (EOL) ulaştı ve bu sürüm için herhangi bir düzeltme planlanmadı.
Sömürü riski ve azaltma
Risk, yönetim web arayüzüne erişimin güvenilmeyen ağlardan veya internetten doğrudan veya bir yönetim profili etkinleştirilmiş bir Dataplane arayüzü aracılığıyla etkinleştirildiği sistemler için en yüksektir.
Bu riski azaltmak için Palo Alto Networks, güvenilir dahili IP adreslerine erişimin kısıtlanmasını ve idari erişimi güvence altına almak için en iyi uygulamaları takip etmenizi önerir.
Kuruluşlar şunları istemektedir:
- Etkilenen sistemleri yukarıda belirtildiği gibi sabit versiyonlara yükseltin.
- Yalnızca dahili IPS kullanarak yönetim web arayüzüne erişimi kısıtlayın.
- Yönetim arayüzüne erişmek için aracı olarak bir “atlama kutusu” sistemi uygulayın.
- Potansiyel saldırıları engellemek için bir tehdit önleme aboneliği aracılığıyla Tehdit Kimlikleri 510000 ve 510001’i etkinleştirin.
Palo Alto Networks, şu andan itibaren vahşi doğada bu kırılganlığın kötü niyetli bir şekilde kullanılmasının farkında olmadığını belirtti.
Güvenlik açığı yüksek şiddet olarak derecelendirilirken, Palo Alto Networks, sömürünün belirli konfigürasyonlar (örn. İnternet’e dönük yönetim arayüzleri) gerektirdiği göz önüne alındığında, iyileştirme için ılımlı bir aciliyet önermektedir. Ancak, kuruluşların sistemlerini güvence altına almak için derhal hareket etmeleri şiddetle tavsiye edilir.
Potansiyel olarak savunmasız varlıkları tanımlamak için müşteriler, cihazlarını Palo Alto Networks’ün Müşteri Destek Portalının Varlıklar Bölümü aracılığıyla inceleyebilir. Düzeltme için “PAN-SA-SA-2024-0015” ile işaretlenen cihazlara öncelik verilmelidir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri