CISA’dan Kritik Uyarı: Palo Alto Networks Güvenlik Açıkları ve Yeni RCE Saldırıları Aktif Olarak İstismar Ediliyor

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü yaptığı açıklamada, Palo Alto Networks’ün Expedition yazılımını etkileyen iki güvenlik açığının daha aktif olarak istismar edildiğini duyurdu.

Bu kapsamda, söz konusu açıklar CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi ve Federal Sivil Yürütme Şubesi (FCEB) kurumlarına 5 Aralık 2024 tarihine kadar gerekli güncellemeleri uygulama zorunluluğu getirildi.

Güvenlik Açıkları Detayları

CISA tarafından duyurulan açıklar şu şekilde sıralandı:

  • CVE-2024-9463 (CVSS skoru: 9.9) – Palo Alto Networks Expedition OS Komut Enjeksiyonu Açığı
  • CVE-2024-9465 (CVSS skoru: 9.3) – Palo Alto Networks Expedition SQL Enjeksiyonu Açığı

Bu açıkların başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların Expedition yazılımında kök yetkileriyle işletim sistemi komutlarını çalıştırmasına veya yazılımın veritabanı içeriğini açığa çıkarmasına olanak tanıyabilir.

Bu durum; kullanıcı adları, düz metin şifreler, cihaz yapılandırmaları ve PAN-OS güvenlik duvarlarının API anahtarlarının açığa çıkmasıyla sonuçlanabilir. Ayrıca, saldırganlar savunmasız sistem üzerinde rastgele dosyalar oluşturabilir veya okuyabilir.

Palo Alto Networks, bu açıkları 9 Ekim 2024 tarihinde yayımladığı güvenlik güncellemeleri ile gidermiştir. Şirket, orijinal güvenlik tavsiyesini güncelleyerek, CISA’nın bu açıkların aktif olarak istismar edildiğine dair raporları bulunduğunu doğruladığını belirtti.

Yeni Bir Palo Alto Açığı Daha Tespit Edildi

CISA’nın, Expedition yazılımında tespit edilen CVE-2024-5910 (CVSS skoru: 9.3) kodlu kritik açığın aktif istismar edildiğini duyurmasından yalnızca bir hafta sonra, Palo Alto Networks yeni bir güvenlik açığını daha doğruladı.

Şirket, az sayıda güvenlik duvarı yönetim arayüzüne karşı bir uzaktan komut yürütme açığının (RCE) istismar edildiğini ve bu arayüzlerin internet üzerinden erişilebilir olduğunu açıkladı.

Palo Alto Networks açıklaması:
“Kimliği doğrulanmamış bir uzaktan komut yürütme açığının, internet üzerinden erişilebilen sınırlı sayıda güvenlik duvarı yönetim arayüzüne karşı istismar edildiği tespit edilmiştir.”

Şirket, bu kötü niyetli etkinlikleri araştırmaya devam ettiğini ve açığa CVSS skoru 9.3 verdiğini belirtti. Henüz bir CVE kimlik numarası atanmasa da, Palo Alto Networks yakında düzeltme yamaları ve tehdit önleme imzalarını yayımlayacağını duyurdu.

Kullanıcılara Öneriler

Palo Alto Networks, tüm müşterilerinden sistemlerini güncel tutmalarını ve özellikle internet üzerinden erişilebilir yönetim arayüzlerini korumalarını istedi.

Siber güvenlik dünyasında yaşanan bu gelişmeler, kritik altyapıları koruma ve güvenlik açıklarını hızlı bir şekilde yamalama gerekliliğini bir kez daha gözler önüne seriyor.

About The Author

Reply