Palo Alto Networks, yeni nesil güvenlik duvarlarında saldırganlar tarafından sıfır gün olarak istismar edilen iki güvenlik açığına (CVE-2024-0012 ve CVE-2024-9474) yönelik düzeltmeler yayınladı.
Güvenlik açıkları hakkında (CVE-2024-0012, CVE-2024-9474)
CVE-2024-0012 kritik bir işlev için eksik kimlik doğrulamasından kaynaklanır ve kimlik doğrulaması yapılmamış saldırganların yönetim web arayüzüne ağ erişimi ile “yönetim eylemleri gerçekleştirmek, yapılandırmayı değiştirmek veya CVE-2024 gibi diğer kimlik doğrulamalı ayrıcalık yükseltme güvenlik açıklarından yararlanmak için PAN-OS yönetici ayrıcalıkları elde etmesine” olanak tanır. 9474”, Palo Alto Networks’e göre.
CVE-2024-0012, müşterilerin internete açık güvenlik duvarı yönetim arayüzlerini uygun şekilde yapılandırmaları ve bu arayüzlere erişimi güvenli hale getirmeleri konusunda uyardıktan sonra şirketin yaklaşık on gün önce uyarı vermeye başladığı (daha önce belirtilmemiş) kimlik doğrulaması yapılmamış sıfır gün uzaktan komut yürütmesidir.
CVE-2024-9474 yönetim web arayüzüne erişimi olan bir PAN-OS yöneticisinin ayrıcalıklarını yükseltmesine ve güvenlik duvarında eylemler gerçekleştirmesine olanak tanıyan bir işletim sistemi komut ekleme hatasıdır. kök ayrıcalıklar.
Şirketin ürün güvenliği araştırmacıları, gözlemlenen tehdit faaliyetlerine dayanarak güvenlik açıklarını belirledi.
Cloud NGFW ve Prisma Access bu kusurlardan etkilenmez.
İstismar tespiti ve iyileştirme
Şirketin olay müdahale ekipleri, Lunar Peek Operasyonu adı altında CVE-2024-0012’nin ilk kullanımını izliyor.
“Palo Alto Networks, sınırlı sayıda cihaz yönetimi web arayüzünü hedef alan tehdit faaliyeti tespit etti. Bu aktivite öncelikle anonim VPN hizmetlerine yönelik proxy/tünel trafiği tarafından bilinen IP adreslerinden kaynaklanmıştır,” diye açıkladılar ve aynı zamanda tehlike göstergeleri de sağlayan ayrı bir tehdit brifinginde açıkladılar.
“İstismar sonrası gözlemlenen etkinlik, etkileşimli komut yürütmeyi ve web kabukları gibi kötü amaçlı yazılımların güvenlik duvarına bırakılmasını içerir.”
Yönetim arayüzüne erişimi yalnızca önceden tanımlanmış dahili IP adresleriyle veya belirli bir atlama kutusuyla sınırlamak, kötüye kullanım riskini azaltır, ancak işletim sisteminin sabit bir sürümüne yükseltmeye öncelik verilmelidir.
Her iki güvenlik açığı da PAN-OS 10.2.12-h2, PAN-OS 11.0.6-h1, PAN-OS 11.1.5-h1, PAN-OS 11.2.4-h1 ve sonraki tüm PAN-OS sürümlerinde düzeltildi. CVE-2024-9474 ayrıca PAN-OS 10.1.14-h6’da da ele alınmıştır.
“Yönetim web arayüzünüz internete maruz kaldıysa, ağınızı tanınmayan yapılandırma değişiklikleri veya şüpheli kullanıcılar gibi şüpheli tehdit etkinliklerine karşı yakından izlemenizi öneririz. Tehdit faaliyetinin kanıtı için Telemetri verilerini ve müşteri tarafından yüklenen teknik destek dosyalarını (TSF) tarıyoruz ve vaka notlarını buna göre güncelliyoruz” diyor Palo Alto.
Güvenliğin ihlal edildiğine dair kanıt bulan müşterilerin, etkilenen cihazları çevrimdışına almaları ve zorunlu Gelişmiş Fabrika Sıfırlaması (EFR) planlamak için şirketin Küresel Müşteri Desteği ile iletişime geçmeleri önerilir. Temizliğin tamamlanması için müşterilerin daha fazla işlem yapması gerekecektir.