Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
Palo Alto Networks detayları ve yamalar kusurdan sonra tespit edilen saldırı denemelerinde dalgalanma
Mathew J. Schwartz (Euroinfosec) •
17 Şubat 2025
Saldırganlar, Palo Alto Networks güvenlik duvarı cihazlarını çalıştıran ve altta yatan yazılıma doğrudan erişim sağlayabilecek bir güvenlik açığından yararlanma çabalarını hızlandırdılar.
Ayrıca bakınız: Yönetilen SASE Hizmetleri: SASE yatırımınızı en üst düzeye çıkarmak için Kapsamlı Kılavuz
Palo Alto Çarşamba günü ilk olarak PAN-OS işletim sisteminde CVE-2025-0108 atanan kimlik doğrulama bypass güvenlik açığını detaylandırdı. Güvenlik açığı “Pan-OS Yönetimi Web arayüzünün aksi takdirde gerektirdiği kimlik doğrulamasını atlamak ve belirli PHP komut dosyalarını çağırmak için yönetim web arayüzüne ağ erişimi olan kimlik doğrulanmamış bir saldırganın sağlanmasını sağlar.” Dedi. “Bu PHP komut dosyalarını çağırırken uzaktan kod yürütülmesini sağlamazken, PAN-OS’nin bütünlüğünü ve gizliliğini olumsuz etkileyebilir.”
Perşembe günü, kusurun “aktif sömürüsünü” gördüğünü bildirdi. Diyerek şöyle devam etti: “Bu yüksek şiddetli kusur, kimlik doğrulanmamış saldırganların belirli PHP komut dosyalarını yürütmesine izin vererek potansiyel olarak savunmasız sistemlere yetkisiz erişime yol açar.”
Shadowserver Vakfı, Perşembe günü başlayarak saldırılarda bir artış gördüğünü bildirdi. Organizasyon Cuma günü, ağırlıklı olarak Asya ve Kuzey Amerika’da internete maruz kalan yaklaşık 3.500 PAN-OS yönetimi arayüzü gördüğünü bildirdi. Sosyal Ağ Mastodon’a gönderilen bir yayında, “Lütfen yönetim arayüzünüzü kamuya açık internetten çıkardığınızdan emin olun.” Dedi.
Saldırı denemeleri, yönlendiriciler, sanal özel ağ aletleri ve diğer donanımlar da dahil olmak üzere Edge cihazlarının saldırganlar için en iyi hedef olmaya devam ettiğini hatırlatıyor. Araştırmacılar bu tür sömürü girişimlerini suç örgütlerine ve ulus devlet gruplarına bağlamaya devam ediyor (bkz:: Edge Cihazlar, kütle kaba kuvvet şifre saldırılarında artışla yüzleşir).
Palo Alto Networks, CVE-2025-0108’in PAN-OS 10.1, 10.2, 11.1 ve 11.2’nin birçok sürümünde bulunduğunu ve güvenlik açığını yamalamak için her birinin güncellenmiş sürümlerini yayınladığını ve hala Pan- OS 11.0, bu sürüm 17 Kasım 2024’te “Yaşam Sonu” na ulaştığından ve artık güncellemeler almadığından, düzeltmeye sahip desteklenen bir sürüme yükseltilmelidir.
Satıcı, kusurun bulut anadili bulut yeni nesil güvenlik duvarında – yani NGFW – veya bir hizmet olarak Prisma Access güvenlik duvarında bulunmadığını söyledi.
Güvenlik açığını keşfetmek için kredi Avustralya Saldırı Yüzey Yönetimi Başlangıç AssetNote – Bu da yakın zamanda PAN -OS kimlik doğrulama yönetimi taleplerinin üç ayrı bileşen tarafından nasıl ele alındığını izledi: Açık kaynaklı web sunucuları Nginx – “Motor X ” – ve Apache ve ayrıca PHP uygulaması. AssetNote’taki bir güvenlik araştırmacısı olan Adam Kues, Apache tarafından “bazı garip yol işleme davranışı” da dahil olmak üzere, bir saldırgan “PAN-OS yönetimi arayüzünde tam bir kimlik doğrulama baypası oluşturabilir” dedi. Çarşamba blog yazısında Palo Alto “Sıfır Gün Kususu” için Yamalar Serbest Bırakma ile çakışacak.
İnternete maruz kalan tüm PAN-OS yönetimi arayüzleri risk altındadır. Geynoise, “PAN-OS güvenlik duvarlarına güvenen kuruluşlar, açılmamış cihazların hedeflendiğini varsaymalı ve onları güvence altına almak için hemen adımlar atmalıdır.” Dedi.
Palo Alto, güvenlik açığının ortaya koyduğu risk “internetten veya güvenilmeyen herhangi bir ağdan yönetim arayüzüne erişim sağladıysanız en büyük” dedi.
Yönetim arayüzlerini güvence altına almak için 2022’den bu yana değişmeyen Palo Alto’dan en iyi uygulamaların listesindeki güvenilir IP adreslerine erişimin özellikleri.
Satıcı ayrıca, yalnızca yöneticilere erişimlerini kısıtlamaya yardımcı olmak için tüm ağ cihazları için yönetim arayüzünü izole etmek için her zaman özel bir VLAN kullanmanızı önerir; Bir atlama kutusu veya atlama sunucusu kullanarak – yönetici arayüzlerine tüm erişimin, kısmen daha iyi denetimi kolaylaştırmak için önce seyahat etmesi gereken bir sunucuyu yönlendirmenin yanı sıra onaylanmış IP adreslerine erişimi kısıtlamak ve tüm bağlantıların güvenli iletişim kullanmasını gerektirir – yani SSH’yi kullanmasını gerektirir veya https.