Palo Alto Networks’ün PAN-OS işletim sistemindeki yeni açıklanan komut enjeksiyon güvenlik açığı, dünya çapında kurumsal güvenlik duvarı altyapıları için önemli güvenlik riskleri oluşturmaktadır.
CVE-2025-4230 olarak kataloglanan güvenlik açığı, komut satırı arayüzü (CLI) erişimine sahip kimliği doğrulanmış yöneticileri, tüm ağ güvenlik mimarileri tehlikeye atarak kök seviyesi ayrıcalıklarıyla yürütmeye olanak tanır.
11 Haziran 2025’te yayınlanan güvenlik danışmanlığı, sofistike saldırı vektörlerine karşı sağlam sistem bütünlüğünü korumada ağ güvenlik satıcılarının karşılaştığı devam eden zorlukları vurgulamaktadır.
.png
)
PAN-OS Admin Komut Enjeksiyon Güvenlik Açığı
CVE-2025-4230 güvenlik açığı, yaygın olarak OS komut enjeksiyonu olarak bilinen CWE-78’in (bir OS komutunda kullanılan özel elemanların yanlış nötralizasyonu) klasik bir örneğini temsil eder.
Bu güvenlik kusuru, kötü niyetli aktörlerin PAN-OS CLI arayüzünde yetersiz giriş validasyonundan yararlanmalarını sağlar ve sistem kısıtlamalarını atlamalarını ve yüksek ayrıcalıklarla yetkisiz komutlar yürütmelerini sağlar.
Güvenlik açığı, saldırganların sistem çağrılarına kötü niyetli komutları enjekte etmek için kullanıcı tarafından sağlanan girdilerin yanlış sanitasyonundan yararlandığı Capec-248 saldırı modelini (komut enjeksiyonu) takip eder.
Sömürü, saldırı yüzeyini önemli ölçüde sınırlayan ancak birden fazla idari kullanıcısı olan kuruluşlara yöneltilen önemli riski ortadan kaldırmayan PAN-OS CLI’ye doğrulanmış yöneticinin erişimini gerektirir.
Teknik analiz, komut enjeksiyonunun CLI işleme motorundaki yetersiz giriş doğrulama mekanizmaları yoluyla gerçekleştiğini ortaya koymaktadır.
Yöneticiler özel olarak hazırlanmış karakterler veya diziler içeren komutlar girdiğinde, sistem temel işletim sistemi bağlamında yürütmeden önce bu öğeleri düzgün bir şekilde nötralize edemez.
Bu temel zayıflık, saldırganların ek komutlar eklemelerini veya yetkisiz sistem erişimi elde etmek için mevcut komut parametrelerini değiştirmesini sağlar.
Güvenlik açığı keşfi, kritik altyapı güvenlik açıklarının belirlenmesinde özel sektör güvenlik araştırmasının değerli rolünü gösteren Visa Inc.’e aktarılmıştır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | PAN-OS 11.2 11.2.6’dan önceki sürümler, PAN-OS 11.1 11.1.10 öncesi sürümler, PAN-OS 10.2 10.2.14’ten önceki sürümler ve 10.1.14-H15’ten önceki PAN-OS 10.1 sürümleri |
| Darbe | Kimliği doğrulanmış yönetici CLI kullanıcıları keyfi kök seviyesi komutları yürütebilir |
| Önkoşuldan istismar | – Geçerli Yönetici Kimlik Bilgileri- CLI Erişim |
| CVSS 3.1 puanı | 5.7 (Orta) |
Etkilenen sistemler
Güvenlik açığı, farklı sürüm dallarında birden fazla PAN-OS sürümünü etkiler ve belirli sürüm aralıkları derhal dikkat gerektirir.
PAN-OS 11.2 11.2.6, PAN-OS 11.1’den önceki sürümler, 11.1.10’dan önceki sürümler, PAN-OS 10.2 10.2.14’ten önceki sürümler ve 10.1.14-H15’ten önceki PAN-OS 10.1 sürümleri bu komut enjeksiyon saldırısına duyarlıdır.
Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) değerlendirmesi, bu güvenlik açığını 5.7 taban puanı, orta şiddet olarak kategorize eder.
CVSS Vektör Dizesi CVSS: 4.0/AV: L/AC: L/AT: N/PR: H/UI: N/VC: H/VI: H/VA: H/R: N/SI: N/SA: N/E: U/R: U/V: D/U: D/U: Amber, yerel saldırı vektör gereksinimlerini, düşük ayrıcalıkları entegre ve yüksek etkiye sahip olma gereksinimlerini gösterir.
Özellikle, Palo Alto Networks’ün Cloud NGFW ve Prisma Erişim Platformları bu güvenlik açığından etkilenmez, bu da bu bulut tabanlı tekliflerde farklı mimari uygulamalar veya ek güvenlik kontrolleri önerir.
Şirket, sistemlerin savunmasız olması için özel bir yapılandırma gerekmediğini vurgulamaktadır, yani varsayılan kurulumlar sömürüye duyarlıdır.
İyileştirme
Palo Alto Networks, etkilenen tüm ürün hatlarında komut enjeksiyon güvenlik açığını ele alan yamalı sürümler yayınladı.
Kuruluşlar, mevcut dağıtım sürümlerine bağlı olarak PAN-OS 11.2.6, 11.1.10, 10.2.14 veya 10.1.14-H15’e yükseltilmelidir.
Şirket, hiçbir geçici çözüm veya hafifletme mevcut olmadığını açıkça belirtir ve bu da hemen tek bir güvenlik yanıtı yamalamasını sağlar.
Palo Alto Networks, ılımlı aciliyet sınıflandırması kuruluşların iyileştirme çabalarına öncelik vermesi gerektiğini düşündürmektedir, ancak bu sorunun bilinen kötü niyetli kullanımı bildirilmesine rağmen.
Güvenlik uzmanları, CLI erişimi sadece temel personele sınırlayan ek erişim kontrolleri uygulamalıdır, çünkü şirket idari erişimi kısıtlamanın bu güvenlik açığının sağladığı güvenlik riskini önemli ölçüde azalttığını belirtmiştir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri