PAN-OS Güvenlik Duvarı DOS Güvenlik Açığı Saldırganın Güvenlik Duvarı’nı Tekrar Tekrar Yeniden Başlatmasına İzin Ver

Önemli bir hizmet reddi güvenlik açığı (CVE-2025-0128) PAN-OS güvenlik duvarı yazılımlarının birden fazla sürümünü etkilemektedir.

Kusur, kimlik doğrulanmamış saldırganların özel hazırlanmış paketleri kullanarak sistem yeniden başlatmalarını uzaktan tetiklemesine izin vererek, potansiyel olarak cihazları kalıcı saldırılar yoluyla bakım moduna zorlar.

Palo Alto Networks’ün sektör lideri güvenlik duvarı platformunun Basit Sertifika Kayıt Protokolü (SCEP) kimlik doğrulama özelliğinde önemli bir güvenlik açığı tespit edilmiştir.

CVE-2025-0128 olarak izlenen bu kusur, ağ tabanlı saldırı vektörü ve düşük karmaşıklığı özellikle maruz kalan sistemlerle ilgili olmasına rağmen, 6.6 (orta) CVSS skoru aldı.

PAN-OS Güvenlik Duvarı DOS Güvenlik Açığı

Güvenlik açığı, kimlik doğrulanmamış tehdit aktörlerinin etkilenen güvenlik duvarlarına kötü niyetli hazırlanmış paketler göndererek sistem yeniden başlatmalarını başlatmalarını sağlar.

Tekrarlanan sömürü, cihazları bakım moduna zorlayarak bu güvenlik cihazlarına dayanan kuruluşlar için uzun süreli hizmetlerin bulunmamasına neden olabilir.

Danışmanlığa göre, “Palo Alto Networks Pan-OS® yazılımının basit Sertifika Kayıt Protokolü (SCEP) kimlik doğrulama özelliğinde bir Hizmet Reddi (DOS) güvenlik açığı, kimlik doğrulanmamış bir saldırganın kötü niyetli bir paket kullanarak sistem yeniden başlatmalarını başlatmasını sağlar.”

Güvenlik uzmanları, bu güvenlik açığını CWE-754 (olağandışı veya istisnai koşullar için uygunsuz kontrol) ve CAPEC-153 (giriş verileri manipülasyonu) altında sınıflandırmış ve bu da beklenmedik giriş koşullarını koruyan güvenlik duvarı işleyerek temel sorunları göstermiştir.

Saldırı, kullanıcı etkileşimi gerektirmez ve “orta” şiddet derecesine rağmen tehlikeli potansiyeline katkıda bulunarak tamamen otomatikleştirilemez.

Özellikle, güvenlik açığı, gizlilik veya dürüstlük için doğrudan tehdit oluşturmazken, kullanılabilirlik etkisi konusunda yüksek puan alır.

Keşif, güvenlik araştırmacısı “Abyss Watcher” a aktarılmakta ve yaygın sömürüden önce kritik altyapı güvenlik açıklarını tanımlamak ve ele almak için bağımsız araştırmacılar ve satıcılar arasındaki devam eden işbirliğini vurgulamaktadır.

Güvenlik açığının özeti aşağıda verilmiştir:

Etkilenen sistemler

Güvenlik açığı, aşağıdakiler dahil olmak üzere birden fazla PAN-OS sürümünü etkiler:

• PAN-OS 11.2 (11.2.3’ten önceki sürümler)
• PAN-OS 11.1 (11.1.5’ten önceki sürümler)
• PAN-OS 11.0 (11.0.6’dan önceki sürümler)
• PAN-OS 10.2 (10.2.11’den önceki sürümler)
• PAN-OS 10.1 (10.1.14-H11’den önceki sürümler)

Prisma erişim kurulumları proaktif olarak yamalanmışken bulut NGFW etkilenmez. Önemli olarak, kuruluşların açıkça yapılandırılmış SCEP’ye savunmasız olması gerekmez – tüm açılmamış sistemler risk altındadır.

Azaltma stratejileri

Palo Alto Networks, yamalı sürümlere anında yükseltmeler önerir:

• PAN-OS 11.2 için: 11.2.3 veya üstüne yükseltme
• PAN-OS 11.1 için: 11.1.5 veya üstüne yükseltme
• PAN-OS 11.0 için: 11.0.6 veya üstüne yükseltme
• PAN-OS 10.2 için: 10.2.11 veya üstüne yükseltin
• PAN-OS 10.1 için: 10.1.14-H11 veya üstüne yükseltme

Hemen güncellenemeyen kuruluşlar için geçici bir CLI tabanlı geçici çözüm vardır. Yöneticiler aşağıdaki komutu çalıştırabilir:

Güvenlik ekipleri, korumayı korumak için herhangi bir sistem yeniden başlatılmasından sonra bu hafifletmenin yeniden uygulanması gerektiğini belirtmelidir.

Palo Alto Networks, vahşi doğada “bu sorunun kötü niyetli bir şekilde kullanılmasının farkında olmadıklarını” belirtiyor. Ancak, artık ayrıntılar kamuya açık olduğuna göre, güvenlik ekipleri sömürü girişimlerinin kısa süre içinde başlayacağını varsaymalıdır.

Ağ güvenlik uzmanları, özellikle en önemli saldırı yüzeyine sahip internete bakan güvenlik duvarı dağıtımları için, bu tehdide karşı en etkili koruma olarak hemen yama yapmayı önermektedir.

Uygulama güvenliği artık sadece savunmacı bir oyun değil, güvence zamanı -> Ücretsiz Web Semineri