Palo Alto Networks’ün güvenlik duvarlarının yönetim web arayüzünü etkileyen yakın zamanda açıklanan bir kimlik doğrulama baypas güvenlik açığı olan CVE-2025-0108’i hedefleyen sömürü denemeleri artıyor.
Tehdit İstihbarat Şirketi Salı günü paylaştı, “Greynoise, 13 Şubat’ta 2’den 2’ye kadar CVE-2025-0108’i aktif olarak sömürüyor”. “Bu yüksek şiddetli kusur, kimlik doğrulanmamış saldırganların belirli PHP komut dosyalarını yürütmesine izin vererek potansiyel olarak savunmasız sistemlere yetkisiz erişime yol açar.”
CVE-2025-0108 + CVE-2024-9474 ve/veya CVE-2025-0111
Palo Alto Networks, CVE-2025-0108’e zincirleyen istismar girişimlerini gözlemlediğini doğrulamak için güvenlik danışmanlığını güncelledi:
- CVE-2024-9474, saldırganların ayrıcalıklarını artırmasına ve kök güvenlik duvarında kök ayrıcalıklarıyla eylem gerçekleştirmesine izin veren eski bir OS komut enjeksiyon kusuru ve
- CVE-2025-0111, kimlik doğrulamalı bir dosya, saldırganların PAN-OS dosya sistemindeki “Kimse” kullanıcısı tarafından okunabilen dosyaları okumasını sağlayan güvenlik açığı okunur.
CVE-2024-9474, Kasım 2025’ten beri saldırganlar tarafından aktif olarak sömürüldü.
Saldırganlar, savunmasız güvenlik duvarlarından hassas dosyaları ve bilgileri yaymak, bir komut ve kontrol implantı, gizlenmiş bir PHP web kıyafeti ve XMRIG Cryptocoin madencisi dağıtmak için bir Auth baypas kusuru olan CVE-2024-9474 ve CVE-2024-0012’den yararlandı.
CVE-2025-0108 ve CVE-2025-0111’in varlığı, Palo Alto Networks tarafından geçen hafta güvenlik danışmanları aracılığıyla, bunları ve diğer kusurları düzelten PAN-OS sürümlerinin yayınlanmasının ardından herkese açık olarak açıklandı.
Her iki güvenlik sorunu da dış araştırmacılar tarafından işaretlendi. CVE-2025-0108, danışmanlığın çıktığı gün teknik detaylar ve POC istismarı yayınlayan AssetNote araştırmacıları tarafından bildirildi. Sömürü denemeleri ertesi gün başladı.
Ne yapalım?
En son güvenlik güncellemelerinin piyasaya sürülmesinden hemen sonra yükseltilmemiş internete bakan Palo Alto Networks’ün güvenlik duvarlarına sahip kuruluşlar, cihazların tehlikeye atıldığını varsaymalıdır. Diken kötü amaçlı yazılımların varlığını ve beklenmedik IP’lerden gelen sömürü girişimlerinin kanıtını aramalıdırlar. (Ne yazık ki, halka açık bir uzlaşma göstergesi yoktur.)
Geynoise’e göre, saldırı trafiğinin ilk 3 kaynaklı ülkesi ABD, Almanya ve Hollanda’dır.
Hem tehlikeye atılmış hem de tehlikeye girmeyen cihazlar, desteklenen sabit sürümlerden birine güncellenmelidir. Kuruluşlar ayrıca PAN cihazlarının yönetim arayüzüne erişim sağlamayı ciddi olarak düşünmelidir.
Palo Alto Networks, “Özellikle, yönetim arayüzü erişimini yalnızca güvenilir dahili IP adresleriyle sınırlamalısınız” diyor.
“Yönetim arayüzüne erişmesine izin verilen tek sistem olan bir atlama kutusuna erişimi kısıtlayarak sömürü riskini büyük ölçüde azaltabilirsiniz. Bu, saldırıların ancak belirtilen IP adresleri aracılığıyla ayrıcalıklı erişim elde ettikleri takdirde başarılı olabilmesini sağlayacaktır. ”