Geçen hafta sonu BSI, Palo Alto Networks'ün güvenlik duvarlarında ve PAN-OS işletim sisteminde aktif olarak saldırıya uğrayan bir güvenlik açığı konusunda uyardı. Artık boşluğu doldurmak için güncellemeler mevcut, kavram kanıtı yararlanma kodu da mevcut ve saldırılar artıyor. Başlangıçta önerilen karşı önlem de etkisiz görünüyor.
Duyuru
Palo Alto, PAN-OS işletim sistemindeki güvenlik duvarı güvenlik açığına ilişkin güvenlik danışma belgesini artık güncelledi (CVE-2024-3400, CVSS 10, risk “eleştirmen“). Duyurulduğu üzere PAN-OS 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1, 11.0.2- için ilk güncellemeler artık mevcut BT yöneticilerinin hemen kullanması gereken h4, 11.0.3-h10, 11.0.4-h1, 11.1.0-h3, 11.1.1-h1 ve 11.1.2-h3 (ve sonrası) vardır, PAN-OS 9.0 , 9.1, 10.0, 10.1 ve Cloud NGFW'nin savunmasız olmadığı belirtiliyor.
PAN-OS Güvenlik Açığı: Etkisiz Geçici Çözüm
Ancak daha fazla güncelleme bekleniyor. PAN-OS 10.2.1-h2, 10.2.3-h13 ve 11.0.1-h4'ün bu hafta Çarşamba günü yapılması planlanıyor. Perşembe günü Palo Alto, PAN-OS 10.2.0-h3, 10.2.2-h5 ve 11.0.0-h3'ü, Cuma günü ise PAN-OS 10.2.4-h16'yı eklemek istiyor. Güvenlik duvarları, GlobalProtect Gateway, GlobalProtect Portal veya her ikisi ile yapılandırılırsa savunmasızdır.
Geçici bir karşı önlem olarak Palo Alto artık yalnızca etkinleştirilmesi gereken ücretli tehdit önleme tehdit kimliklerinden bahsediyor. Artık savunma için üç kural var; tehdit kimlikleri 95187, 95189 ve 95191. Çalışanlar daha önce bir karşı önlem olarak cihaz telemetrisinin kapatılmasından bahsetmişti. Bunun etkisiz olduğu ortaya çıktı; Güvenlik açığına başarıyla saldırılması için telemetrinin etkinleştirilmesine gerek yoktur.
Palo Alto artık BT yöneticilerinin bir istismarın işaretlerini tespit etmek için arayabilecekleri ipuçları da sağlıyor. Komut çıktıları komut satırında görünür grep pattern "failed to unmarshal session(.+./" mp-log gpsvc.log* bir saldırıya doğru. Eğer bu formdaysa "message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)" ve parantez içindeki değerler GUID'e benzemiyor ancak dosya sisteminde bir yol içeriyor, bu durum CVE-2024-3400 güvenlik açığına yönelik bir saldırıya işaret ediyor olabilir.
Twitter'da TrustedSec, Palo Alto güvenlik duvarlarına saldıran belirli bir HTTP alma isteği biçiminde bir kavram kanıtlama istismarını gösteriyor. Güvenlik duyurusunda Palo Alto, şirketin bu güvenlik açığını hedef alan saldırıların sayısının giderek arttığını ve kavram kanıtlarının üçüncü taraflarca kamuya açıklandığını belirtiyor.
Palo Alto BT analistleri ayrıca bir web sitesi saldırısının analizini de sağlıyor. İlgilenenler, “MidnightEclipse Operasyonu” saldırganlarının saldırdıkları cihazlara nasıl başarıyla eriştiğine dair bazı bilgiler bulacaklar.
(Bilmiyorum)
Haberin Sonu
Duyuru
Palo Alto, PAN-OS işletim sistemindeki güvenlik duvarı güvenlik açığına ilişkin güvenlik danışma belgesini artık güncelledi (CVE-2024-3400, CVSS 10, risk “eleştirmen“). Duyurulduğu üzere PAN-OS 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1, 11.0.2- için ilk güncellemeler artık mevcut BT yöneticilerinin hemen kullanması gereken h4, 11.0.3-h10, 11.0.4-h1, 11.1.0-h3, 11.1.1-h1 ve 11.1.2-h3 (ve sonrası) vardır, PAN-OS 9.0 , 9.1, 10.0, 10.1 ve Cloud NGFW'nin savunmasız olmadığı belirtiliyor.
PAN-OS Güvenlik Açığı: Etkisiz Geçici Çözüm
Ancak daha fazla güncelleme bekleniyor. PAN-OS 10.2.1-h2, 10.2.3-h13 ve 11.0.1-h4'ün bu hafta Çarşamba günü yapılması planlanıyor. Perşembe günü Palo Alto, PAN-OS 10.2.0-h3, 10.2.2-h5 ve 11.0.0-h3'ü, Cuma günü ise PAN-OS 10.2.4-h16'yı eklemek istiyor. Güvenlik duvarları, GlobalProtect Gateway, GlobalProtect Portal veya her ikisi ile yapılandırılırsa savunmasızdır.
Geçici bir karşı önlem olarak Palo Alto artık yalnızca etkinleştirilmesi gereken ücretli tehdit önleme tehdit kimliklerinden bahsediyor. Artık savunma için üç kural var; tehdit kimlikleri 95187, 95189 ve 95191. Çalışanlar daha önce bir karşı önlem olarak cihaz telemetrisinin kapatılmasından bahsetmişti. Bunun etkisiz olduğu ortaya çıktı; Güvenlik açığına başarıyla saldırılması için telemetrinin etkinleştirilmesine gerek yoktur.
Palo Alto artık BT yöneticilerinin bir istismarın işaretlerini tespit etmek için arayabilecekleri ipuçları da sağlıyor. Komut çıktıları komut satırında görünür grep pattern "failed to unmarshal session(.+./" mp-log gpsvc.log* bir saldırıya doğru. Eğer bu formdaysa "message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)" ve parantez içindeki değerler GUID'e benzemiyor ancak dosya sisteminde bir yol içeriyor, bu durum CVE-2024-3400 güvenlik açığına yönelik bir saldırıya işaret ediyor olabilir.
Twitter'da TrustedSec, Palo Alto güvenlik duvarlarına saldıran belirli bir HTTP alma isteği biçiminde bir kavram kanıtlama istismarını gösteriyor. Güvenlik duyurusunda Palo Alto, şirketin bu güvenlik açığını hedef alan saldırıların sayısının giderek arttığını ve kavram kanıtlarının üçüncü taraflarca kamuya açıklandığını belirtiyor.
Palo Alto BT analistleri ayrıca bir web sitesi saldırısının analizini de sağlıyor. İlgilenenler, “MidnightEclipse Operasyonu” saldırganlarının saldırdıkları cihazlara nasıl başarıyla eriştiğine dair bazı bilgiler bulacaklar.
(Bilmiyorum)
Haberin Sonu