Palo Alto Networks bugün müşterilerini, saldırganların PAN-OS güvenlik duvarlarını ele geçirmesine izin vermek için zincirlenebilen güvenlik açıklarını (herkese açık istismar kodu ile) yamalamaları konusunda uyardı.
Açıklar, Palo Alto Networks’ün diğer Checkpoint, Cisco veya desteklenen satıcılardan konfigürasyonların taşınmasına yardımcı olan Expedition çözümünde bulundu.
Bu açıklar, kullanıcı kimlik bilgileri de dahil olmak üzere hassas verilere erişmek için kullanılabilir ve potansiyel olarak güvenlik duvarı yönetici hesaplarının tamamen ele geçirilmesine yol açabilir.
En ciddi güvenlik açığı olan CVE-2024-9463, 10 üzerinden 9,9 CVSS puanına sahiptir ve bu da kritik olduğunu göstermektedir.
Bu hata, kimliği doğrulanmamış bir saldırganın Expedition’da root olarak rastgele işletim sistemi komutları çalıştırmasına olanak tanıyarak PAN-OS güvenlik duvarlarının kullanıcı adlarının, açık metin parolalarının, cihaz yapılandırmalarının ve cihaz API anahtarlarının ifşa edilmesine neden olur.
Şirket Çarşamba günü yayınladığı bir bildiride, “Palo Alto Networks Expedition’daki birden fazla güvenlik açığı, bir saldırganın Expedition veritabanı içeriğini ve rastgele dosyaları okumasına ve ayrıca Expedition sistemindeki geçici depolama konumlarına rastgele dosyalar yazmasına olanak tanır” dedi.
“Bunlar bir araya getirildiğinde, PAN-OS güvenlik duvarlarının kullanıcı adları, açık metin parolaları, cihaz yapılandırmaları ve cihaz API anahtarları gibi bilgileri içerir.”
Bu hatalar, komut enjeksiyonu, yansıtılmış siteler arası komut dosyası oluşturma (XSS), hassas bilgilerin açık metin depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu güvenlik açıklarının bir kombinasyonudur:
CVE-2024-9463 (kimliği doğrulanmamış komut enjeksiyonu güvenlik açığı)
CVE-2024-9464 (kimliği doğrulanmış komut enjeksiyonu güvenlik açığı)
CVE-2024-9465 (kimliği doğrulanmamış SQL enjeksiyonu güvenlik açığı)
CVE-2024-9466 (günlüklerde saklanan açık metin kimlik bilgileri)
CVE-2024-9467 (kimliği doğrulanmamış yansıtılmış XSS güvenlik açığı)
Güvenlik Açıkları Detayları
- CVE-2024-9463: Bu zafiyet, PAN-OS’taki hata doğrulama mekanizmalarındaki eksikliklerden kaynaklanmaktadır. Saldırganlar, bu açığı kullanarak sistem üzerinde komut çalıştırabilirler. Özellikle, bir ağ üzerinden kimlik doğrulama bypass edilerek kötü niyetli kod çalıştırılması mümkündür.
- CVE-2024-9464: SQL enjeksiyonu olarak bilinen bu açık, kullanıcı girdilerinin yeterince temizlenmemesinden kaynaklanmaktadır. Saldırganlar, sistemin veri tabanına zararlı sorgular göndererek hassas bilgileri elde edebilir veya veri tabanını manipüle edebilir.
- CVE-2024-9465: Benzer şekilde, bu zafiyet de uzaktan kod çalıştırma olanağı sağlamaktadır. Saldırganlar, belirli API çağrılarını kullanarak güvenlik duvarına komut gönderip, sistemin kontrolünü ele geçirebilir.
- CVE-2024-9466: Bilgi sızdırma ile ilgili bu zafiyet, birden fazla bileşenin birleşiminden kaynaklanmaktadır. Saldırganlar, sistem üzerinden geçici verilere erişim sağlayarak gizli bilgileri elde edebilirler.
- CVE-2024-9467: Bu açık, hizmet reddi (DoS) saldırılarına yol açabilecek şekilde tasarlanmıştır. Saldırganlar, güvenlik cihazını aşırı yükleyerek hizmetlerin durmasına neden olabilir.
Kavram kanıtı açık kullanılabilir
Hatalardan dördünü bulan ve raporlayan Horizon3.ai güvenlik açığı araştırmacısı Zach Hanley, saldırganların Expedition uygulaması yönetici kimlik bilgilerini sıfırlamasına olanak tanıyan CVE-2024-5910 güvenlik açığını (Temmuz ayında açıklandı ve yamalandı) araştırırken bu kusurlardan üçünü nasıl bulduğunu detaylandıran bir kök neden analizi yazısı da yayınladı.
Hanley ayrıca CVE-2024-5910 yönetici sıfırlama açığını CVE-2024-9464 komut enjeksiyonu açığı ile zincirleyerek savunmasız Expedition sunucularında “kimliği doğrulanmamış” keyfi komut yürütme elde eden bir kavram kanıtı istismarı yayınladı.
Palo Alto Networks, şu an için güvenlik açıklarının saldırılarda kullanıldığına dair bir kanıt olmadığını söylüyor.
“Listelenen tüm sorunlar için düzeltmeler Expedition 1.2.96 ve sonraki tüm Expedition sürümlerinde mevcuttur. CVE-2024-9466’dan etkilenen açık metin dosyası yükseltme sırasında otomatik olarak kaldırılacaktır,” diye ekledi Palo Alto Networks bugün.
“Tüm Expedition kullanıcı adları, parolaları ve API anahtarları, Expedition’ın sabit sürümüne yükseltildikten sonra döndürülmelidir. Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, parolaları ve API anahtarları güncellemeden sonra rotasyona tabi tutulmalıdır.”
Bugünkü güvenlik güncellemelerini hemen dağıtamayan yöneticiler, Expedition ağ erişimini yetkili kullanıcılar, ana bilgisayarlar veya ağlarla kısıtlamalıdır.
Nisan ayında şirket, Mart ayından bu yana devlet destekli bir terör örgütü tarafından aktif olarak istismar edilen maksimum şiddette bir sıfır gün hatası için düzeltmeler yayınlamaya başladı.
About the Author
