PAN-OS Sürümlerinde İstismar Edilen Güvenlik Açığı

   Ocak 2, 2025  Posted in ThecyberExpress


Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Palo Alto Networks’ün PAN-OS sürümlerine yeni keşfedilen bir güvenlik açığını ekleyerek Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğunu genişletti. Bu ekleme, aktif sömürünün kanıtlarını yansıtıyor ve bunun federal şirketler ve ötesi için kritik bir risk olduğuna işaret ediyor.

CVE-2024-3393 olarak tanımlanan güvenlik açığı, PAN-OS’un DNS Güvenliği özelliğinde Hizmet Reddi (DoS) sorunu olarak sınıflandırılıyor. Bu kusur, kimliği doğrulanmamış saldırganların güvenlik duvarı işlemlerini kesintiye uğratmasına, sürekli olarak yeniden başlatılmasına ve saldırının devam etmesi halinde potansiyel olarak bakım moduna girmesine neden olabilir.

Güvenlik Açığı Nedir?

Güvenlik açığı, PAN-OS’un hatalı biçimlendirilmiş DNS paketlerini işleme biçiminde yatıyor. Kötü amaçlarla oluşturulmuş bir paket, güvenlik duvarının veri düzlemi üzerinden gönderildiğinde, sistemi yeniden başlatmaya zorlayan bir arızayı tetikler. Tekrar tekrar kullanılması, güvenlik duvarını işlevsiz hale getirebilir ve dolayısıyla ağ güvenliğinden ödün verebilir.

Bu sorun özellikle PA Serisi, VM Serisi, CN Serisi güvenlik duvarları veya Prisma Access çözümlerini kullanan kuruluşlar için endişe vericidir. Bu güvenlik açığı, DNS Güvenliği veya Gelişmiş DNS Güvenliği lisanslarının etkin olduğu ve DNS Güvenliği günlük kaydının açık olduğu belirli PAN-OS sürümlerini etkiler.

Etkilenen PAN-OS Sürümleri

Güvenlik açığı şunları etkiler:

  • PAN-OS 11.2: 11.2.3’ün altındaki sürümler
  • PAN-OS 11.1: 11.1.5’in altındaki sürümler
  • PAN-OS 10.2: 10.2.8 ile 10.2.14 arasındaki sürümler
  • PAN-OS 10.1: 10.1.14 ile 10.1.15 arasındaki sürümler

Ancak 9.1 ve 10.0 gibi eski PAN-OS sürümlerinin yanı sıra Panorama M Serisi ve Panorama sanal cihazları etkilenmeden kalır.


Tarayıcınız video etiketini desteklemiyor.

Ciddiyet ve Kullanım Durumu

Bu güvenlik açığı, kimliği doğrulanmamış senaryolar için 8,7 CVSS puanıyla Yüksek Önem Derecesinde derecelendirilmiştir. Saldırı, kullanıcı etkileşimi gerektirmediğinden ağ güvenlik duvarlarının güvenilmeyen DNS paketlerini işlediği ortamlarda saldırıyı özellikle tehlikeli hale getiriyor.

Palo Alto Networks, müşterilerin güvenlik açığını tetikleyen kötü amaçlı DNS paketlerinin neden olduğu güvenlik duvarı kesintilerini bildirdiği aktif istismar vakalarını doğruladı.

Azaltıcı Önlemler

Palo Alto Networks, sorunu çözmek için yamalar yayınlamış olsa da, hemen yükseltme yapamayan kuruluşlar aşağıdaki geçici çözümleri uygulayabilir:

  1. Güvenlik Profili Ayarlamaları: Güvenlik Politikasında önceden tanımlanmış Casus Yazılım Önleme profillerini (örneğin, “Varsayılan” veya “Katı”) kopyalayın ve bunları özel profillerle değiştirin.
  2. DNS Güvenlik Ayarlarını Ayarlama: Operasyonel olarak mümkünse, DNS Güvenliği günlüğünü geçici olarak devre dışı bırakın.
  3. Düzenli İzleme: Beklenmeyen yeniden başlatmalar gibi olağandışı güvenlik duvarı davranışlarını sürekli olarak izleyin.

Bu önlemler kalıcı bir çözüm sağlanana kadar geçici koruma sağlar.

Kalıcı Düzeltmeler Mevcuttur

Güvenlik açığını tamamen azaltmak için etkilenen sistemlerin aşağıdaki PAN-OS sürümlerine yükseltilmesi gerekir:

  • PAN-OS 11.2.3 veya daha sonra
  • PAN-OS 11.1.5 veya daha sonra
  • PAN-OS 10.2.14 veya sonrası (ETA: Ocak 2025)
  • PAN-OS 10.1.15 veya sonrası (ETA: Ocak 2025)

Palo Alto Networks ayrıca farklı dağıtım ihtiyaçlarını karşılamak amacıyla PAN-OS’un belirli bakım sürümleri için düzeltmeler de yayınladı.

Teknik Etkiyi Anlamak

Bu DoS güvenlik açığı, güvenlik duvarını çökerterek veya yeniden başlatarak sistemin kullanılabilirliğini tehlikeye atar. Hatalı istisna yönetimi ve DNS paketlerinin yetersiz doğrulanması, aşağıdaki kategorilere ayrılan kusura katkıda bulunur:

  • CWE-754: Olağandışı veya İstisnai Durumlar İçin Uygunsuz Kontrol
  • CAPEC-540: Aşırı Okunan Tamponlar

Bu güvenlik açığının sonuçları basit yeniden başlatmaların ötesine uzanıyor. Bunu kullanan saldırganlar, sistem davranışı hakkında bilgi edinebilir ve potansiyel olarak saldırılarını diğer zayıflıkları hedef alacak şekilde geliştirebilir.

Kuruluşlar Kendilerini Nasıl Koruyabilir?

Bu güvenlik açığını gidermek için kuruluşların hem teknik hem de prosedürle ilgili savunmaları dikkate alması gerekir:

  • Hemen Yükselt: Sistemlerin sabit PAN-OS sürümlerini çalıştırdığından emin olun.
  • Hata İşlemeyi Geliştirin: Geliştiriciler, ardı ardına gelen hataları önlemek için istisna işleme mekanizmalarını benimsemelidir.
  • Girişleri Doğrula: Hatalı biçimlendirilmiş paketlerin işlenmesi riskini en aza indirmek için katı giriş doğrulaması uygulayın.
  • Günlükleri İzle: Hassas ayrıntıların açığa çıkmadığından emin olarak günlük dosyalarını şüpheli etkinlik açısından düzenli olarak denetleyin.
  • Zarifçe Başarısız Olun: Dahili durumları saldırganlara maruz bırakmadan arızaları giderecek sistemler tasarlayın.

Daha Geniş Etkiler

Bu güvenlik açığı, kritik sistemlerin karmaşık siber tehditlere karşı korunmasında devam eden zorluğun altını çiziyor. Saldırganlar genellikle PAN-OS gibi yaygın olarak kullanılan teknolojilerdeki kusurlardan yararlanarak, ağ savunması için bunlara büyük ölçüde güvenen kuruluşları hedef alır.

Federal işletmeler için, operasyonlarının hassas yapısından dolayı riskler daha da yüksektir. CISA’nın bu tür güvenlik açıklarını KEV Kataloğuna proaktif olarak dahil etmesi, zamanında güncelleme ve dikkatli güvenlik uygulamalarına olan ihtiyacın altını çiziyor.

Kapanış Düşünceleri

Palo Alto Networks’ün çözümlerini kullanan kuruluşlar, yamalar uygulayarak veya geçici çözümler dağıtarak bu güvenlik açığını azaltmak için hızlı bir şekilde harekete geçmelidir.

İşletmeler, güçlü güvenlik uygulamalarını benimseyerek ve ortaya çıkan tehditler hakkında bilgi sahibi olarak ağlarını daha iyi koruyabilir ve artan siber riskler karşısında operasyonel dayanıklılığı koruyabilir.



Source link