Palo Alto Networks güvenlik duvarları saldırı altında, düzeltmeler geliyor! (CVE-2024-3400)
Saldırganların, Palo Alto Networks’ün güvenlik duvarlarını etkileyen bir komut yerleştirme güvenlik açığından (CVE-2024-3400) yararlandığı konusunda uyaran şirket, müşterileri geçici önlemleri uygulamaya ve cihazlarının ele geçirilip geçirilmediğini kontrol etmek için iletişime geçmeye çağırdı.
“Palo Alto Networks, bu güvenlik açığından yararlanan sınırlı sayıda saldırının farkındadır” dediler ve sorunu işaretledikleri için Volexity araştırmacılarına teşekkür ettiler.
Güvenlik açığından yararlanma otomatikleştirilebilir.
CVE-2024-3400 Hakkında
CVE-2024-3400, Palo Alto Networks PAN-OS yazılımının GlobalProtect özelliğinde yer alan bir komut ekleme güvenlik açığıdır ve kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan güvenlik duvarlarında kök ayrıcalıklarıyla rastgele kod çalıştırmasına izin verebilir.
Güvenlik açığı, hem GlobalProtect ağ geçidi hem de cihaz telemetrisi için yapılandırmaların etkin olduğu PAN-OS 11.1, 11.0 ve 10.2 sürümlerini etkiliyor. 14 Nisan 2023’te (Pazar) yayımlanması planlanan 11.1.2-h3, 11.0.4-h1 ve 10.2.9-h1 düzeltmeleriyle düzeltilecektir.
“Güvenlik duvarı web arayüzünüzdeki girişleri kontrol ederek yapılandırılmış bir GlobalProtect ağ geçidinizin olup olmadığını doğrulayabilirsiniz (Ağ > GlobalProtect > Ağ Geçitleri) ve güvenlik duvarı web arayüzünüzü kontrol ederek cihaz telemetrisinin etkin olup olmadığını doğrulayın (Cihaz > Kurulum > Telemetri),” Palo Alto Networks açıkladı.
“Tehdit Önleme aboneliğine sahip müşteriler, Tehdit Kimliği 95187’yi (Uygulamalar ve Tehditler içeriği sürüm 8833-8682’de sunulmuştur) etkinleştirerek bu güvenlik açığına yönelik saldırıları engelleyebilir.”
Ayrıca cihazlarında bu sorunun kötüye kullanılmasını önlemek için GlobalProtect arayüzüne bir güvenlik açığı koruma güvenlik profili uygulamalıdırlar.
Bunlardan hiçbirini yapamazlarsa, bu güvenlik açığının etkisini geçici olarak azaltabilirler. Cihaz telemetrisini devre dışı bırakma (ve düzeltme uygulandıktan sonra yeniden etkinleştirin).
Şirket, “Müşteriler, cihaz günlüklerinin bu güvenlik açığı için bilinen güvenlik ihlali göstergeleriyle (IoC) eşleşip eşleşmediğini belirlemek için Müşteri Destek Portalı’nda (CSP) bir vaka açabilir ve bir teknik destek dosyası (TSF) yükleyebilir” dedi.
GÜNCELLEME (12 Nisan 2024, 09:25):
Volexity başkanı Steven Adair, “Sınırlı bir istismar gördük ancak birden fazla müşteri üzerinde etki gördük” dedi. Yorum yaptı Twitter’dan.
“Bunu ilk kez sadece iki gün önce tespit ettik. Palo Alto Networks ekibinin bizimle hızlı bir şekilde çalışarak 14 Nisan’da gelecek bir düzeltmeyle Tehdit Koruması imzasını atması nedeniyle etkileyici bir yanıt verdi.”
