Palo Alto Networks Security Advisories, şirketin ürünlerinde (özellikle PAN-OS tabanlı firewall’lar, GlobalProtect ve OpenConfig eklentisi gibi bileşenler) tespit edilen güvenlik açıklarını, CVE numaralarıyla belgelendirip, bu açıkların teknik detaylarını, etki alanlarını ve önerilen çözümleri içerir. Bu uyarılar; yönetim arayüzlerine yönelik kimlik doğrulama atlamaları, komut enjeksiyonu, dosya erişim hataları gibi çeşitli tehdit senaryolarını kapsamaktadır. Özellikle, ağ yöneticilerinin ve güvenlik uzmanlarının dikkat etmesi gereken bu açıklarda, riskin en aza indirgenmesi için güncelleme, yapılandırma ve erişim kısıtlama gibi adımlar net olarak belirtilmiştir.
CVE-2025-0108: PAN-OS Yönetim Web Arayüzünde Kimlik Doğrulama Atlaması
Teknik Detaylar
Açıklama:
PAN-OS yazılımında tespit edilen bu güvenlik açığı, saldırganın, yönetim web arayüzüne doğrudan erişim sağlayabilen PHP betiklerini çağırarak, normalde zorunlu olan kimlik doğrulama sürecini atlamasına olanak tanımaktadır. Her ne kadar bu durum uzaktan kod yürütme yeteneği vermese de, sistem bütünlüğü ve gizliliği üzerinde olumsuz etkiler yaratabilmektedir.
Saldırı Yolu:
- Ağ Erişimi: Saldırgan, yönetim web arayüzüne doğrudan veya bir veri düzlemi arayüzü üzerinden erişim sağlıyorsa riski artırır.
- Güvenlik Zayıflığı: Erişim kontrol mekanizmalarının yetersiz yapılandırılması, dış IP adreslerinden gelen isteklerin filtrelenmemesi durumunda saldırıya zemin hazırlar.
CVSS Puanı ve Detayları:
- CVSS Skoru: 7.8 (HIGH)
- Attack Complexity: LOW
- Privileges Required: NONE
- User Interaction: NONE
Etkilenen Sürümler ve Çözüm Önerileri
Etkilenen Sürümler:
- PAN-OS 11.2: 11.2.0’den 11.2.4-h4’e kadar
- PAN-OS 11.1: 11.1.0’den 11.1.6-h1’e kadar
- PAN-OS 10.2: 10.2.0’dan 10.2.13-h3’e kadar
- PAN-OS 10.1: 10.1.0’den 10.1.14-h9’a kadar
Önerilen Çözüm:
Sistem yöneticilerinin, etkilenen sürümleri destekleyen cihazlarda PAN-OS’un ilgili sürüme (örneğin, PAN-OS 11.2 için 11.2.4-h4 veya üzeri) güncelleme yapması gerekmektedir.
Ek Güvenlik Önlemleri:
- Yönetim arayüzüne erişim, yalnızca güvenilir dahili IP adresleri ile sınırlandırılmalıdır.
- Erişim için bir “jump box” kullanılması, yönetim arayüzüne doğrudan erişimi engelleyerek saldırı riskini düşürür.
CVE-2025-0110: PAN-OS OpenConfig Eklentisinde Komut Enjeksiyonu Açığı
Teknik Detaylar
Açıklama:
Bu güvenlik açığı, PAN-OS OpenConfig eklentisinde, doğrulanmış bir yöneticinin (özellikle gNMI istekleri yapabilen) sistem kısıtlamalarını aşarak, “__openconfig” kullanıcısı altında (Device Administrator rolüne sahip) arbitrary komutlar çalıştırabilmesine imkan tanımaktadır. Komut enjeksiyonu, sistemde yetkisiz komutların çalıştırılması sonucunda, hem ürün bütünlüğü hem de veri güvenliği açısından ciddi riskler oluşturmaktadır.
Saldırı Yolu:
- Yönetim Erişimi: Yalnızca eklentiyi etkinleştirmiş sistemler bu riskten etkilenmektedir.
- Doğrulama: Açık, doğrulanmış yöneticiler tarafından gerçekleştirilebilmektedir, bu da saldırganın sisteme fiziksel erişim sağlamadan saldırı gerçekleştirebilmesine olanak tanır.
CVSS Puanı ve Detayları:
- CVSS Skoru: 7.3 (HIGH)
- Attack Complexity: LOW
- Privileges Required: Yüksek erişim gerektirmektedir
- User Interaction: NONE
Etkilenen Sürümler ve Çözüm Önerileri
Etkilenen Sürümler:
- PAN-OS OpenConfig Plugin: Sürüm 2.1.2’den önceki sürümler
Önerilen Çözüm:
Kullanıcıların, PAN-OS güncellemeleri kapsamında OpenConfig eklentisini 2.1.2 veya daha sonraki bir sürüme yükseltmeleri gerekmektedir.
Not: PAN-OS 11.2.5 ve sonraki sürümler, OpenConfig Plugin 2.1.2’yi varsayılan olarak içermektedir.
Ek Güvenlik Önlemleri:
- Yönetim arayüzüne erişimin, yalnızca güvenilir dahili IP adresleri ile sınırlandırılması önerilir.
- OpenConfig eklentisi kullanılmıyorsa, devre dışı bırakılması veya tamamen kaldırılması, potansiyel riskleri minimize eder.
CVE-2025-0109: Yönetim Web Arayüzünde Kimlik Doğrulama Gerektirmeyen Dosya Silme Zafiyeti (Orta Şiddet)
Teknik Detaylar
Açıklama:
Bu zafiyet, kimlik doğrulaması gerektirmeyen bir erişim ile yönetim web arayüzü üzerinden dosya silinmesine olanak tanır. Bu durum, sistemin bütünlüğünü tehdit edebilir.
Saldırı Yolu:
- Ağ Erişimi: Saldırgan, yönetim web arayüzüne doğrudan erişim sağlarsa, kimlik doğrulaması gerektirmeyen bir yol ile dosya silme işlemi gerçekleştirebilir.
- Güvenlik Zayıflığı: Erişim kontrolünün yetersiz olması, bu açığın kullanılabilirliğini artırmaktadır.
CVSS Puanı ve Detayları:
- CVSS Skoru: 6.5 (MEDIUM)
- Attack Complexity: LOW
- Privileges Required: NONE
- User Interaction: NONE
Etkilenen Sürümler ve Çözüm Önerileri
Etkilenen Sürümler:
- PAN-OS 10.1, 10.2, 11.1 ve 11.2 sürümleri etkilenmektedir.
Önerilen Çözüm:
Yönetim arayüzüne yalnızca güvenilir iç IP adreslerinden erişime izin verilmeli, zafiyetin etkisi azaltılmalıdır.
CVE-2025-0111: Yönetim Web Arayüzünde Kimlik Doğrulaması Gerektiren Dosya Okuma Zafiyeti (Orta Şiddet)
Teknik Detaylar
Açıklama:
Bu zafiyet, kimlik doğrulaması gerektiren bir dosya okuma açığına işaret eder. Kötü niyetli bir kullanıcı, bu açığı kullanarak sistemdeki hassas verilere erişebilir.
Saldırı Yolu:
- Ağ Erişimi: Saldırgan, sistemdeki hassas verilere yetkisiz erişim sağlamak için bu açığı kullanabilir.
- Güvenlik Zayıflığı: Zayıf erişim kontrolleri ve kullanıcı doğrulama hataları.
CVSS Puanı ve Detayları:
- CVSS Skoru: 6.4 (MEDIUM)
- Attack Complexity: LOW
- Privileges Required: LOW
- User Interaction: NONE
Etkilenen Sürümler ve Çözüm Önerileri
Etkilenen Sürümler:
- PAN-OS 10.1, 10.2, 11.1 ve 11.2 sürümleri etkilenmektedir.
Önerilen Çözüm:
Erişim kontrolleri güçlendirilmelidir. Yalnızca yetkilendirilmiş kullanıcıların kritik verilere erişmesi sağlanmalıdır.
PAN-SA-2025-0005: GlobalProtect Clientless VPN: Yanlış Yapılandırma Nedeniyle Cross-Site Atakları
Teknik Detaylar
Açıklama:
GlobalProtect Clientless VPN yapılandırmalarının yanlış yapılması, Cross-Site Scripting (XSS) saldırılarına açık hale gelmesine neden olabilir. Bu, kötü niyetli kullanıcıların ağ üzerinde zararlı etkinliklerde bulunmasına yol açabilir.
Saldırı Yolu:
- Ağ Erişimi: Yanlış yapılandırma, XSS saldırılarının yapılabilmesine olanak tanır.
- Güvenlik Zayıflığı: VPN yapılandırmalarında en iyi güvenlik uygulamalarının ihmal edilmesi.
CVSS Puanı ve Detayları:
- CVSS Skoru: 6.0 (MEDIUM)
- Attack Complexity: MEDIUM
- Privileges Required: NONE
- User Interaction: REQUIRED
Çözüm Önerileri
Önerilen Çözüm:
GlobalProtect Clientless VPN yapılandırmalarında en iyi güvenlik uygulamaları takip edilmelidir.
Sonuç ve Öneriler
Palo Alto Networks tarafından yayımlanan bu güvenlik açıkları, PAN-OS kullanıcıları için kritik öneme sahiptir. Bu zafiyetlerden korunmak için aşağıdaki adımların uygulanması önerilmektedir:
- Erişim Kısıtlamaları: Yönetim arayüzüne yalnızca güvenilir iç ağlardan erişim sağlanmalı ve erişim kısıtlamaları uygulanmalıdır.
- Güncellemeler: PAN-OS ve ilgili eklentilerin en son sürümlere güncellenmesi gerekmektedir.
- Yapılandırma İyileştirmeleri: Özellikle GlobalProtect Clientless VPN ve OpenConfig eklentileri gibi kritik yapılandırmalarda, güvenlik açıklarını minimize edecek en iyi uygulamalar uygulanmalıdır.
#CVE2025_0109 #CVE2025_0111 #PANOS #KimlikDoğrulama #DosyaSilmeAçığı #XSS #GlobalProtectVPN #YönetimWebArayüzü #ErişimKontrolleri #AğGüvenliği.
