Aktif Saldırı Altındaki Güvenlik Duvarı Hatası CISA Uyarısını Tetikliyor Dünya Geneli

Aktif Saldırı Altındaki Güvenlik Duvarı Hatası CISA Uyarısını Tetikliyor

CISA, Palo Alto Networks'ün PAN-OS'sinin aktif saldırı altında olduğu ve en kısa sürede yamalanması gerektiği konusunda uyarıyor. Palo Alto Networks'...

CISA, Palo Alto Networks'ün PAN-OS'sinin aktif saldırı altında olduğu ve en kısa sürede yamalanması gerektiği konusunda uyarıyor.

Palo Alto Networks'ün güvenlik duvarlarını çalıştıran yazılımların saldırı altında olması, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) kamu ve federal BT güvenlik ekiplerine mevcut düzeltmeleri uygulamaları konusunda bir uyarı yayınlamasına neden oldu. Federal kurumlar hatayı 9 Eylül'e kadar düzeltmeye çağırdı.

Bu ayın başlarında Palo Alto Networks, rakiplerin istismar etmeye çalıştığı yüksek önem derecesine sahip hataya (CVE-2022-0028) yönelik bir düzeltme yayınladı. Bu kusur, uzak bilgisayar korsanları tarafından, hedeflenen sistemlerin kimliğini doğrulamaya gerek kalmadan yansıtılmış ve güçlendirilmiş hizmet reddi (DoS) saldırıları gerçekleştirmek için kullanılabilir.

Palo Alto Networks, kusurdan yalnızca sınırlı sayıda sistemde, belirli koşullar altında yararlanılabileceğini ve savunmasız sistemlerin ortak bir güvenlik duvarı yapılandırmasının parçası olmadığını savunuyor. Hatadan yararlanan herhangi bir ek saldırı ya gerçekleşmedi ya da kamuya bildirildi.

Etkilenen Ürünler ve İşletim Sistemi Sürümleri

Etkilenen ürünler arasında PAN-OS güvenlik duvarı yazılımını çalıştıran PA-Serisi, VM-Serisi ve CN-Serisi cihazlar yer alıyor. Saldırılara karşı savunmasız olan ve yamaları mevcut olan PAN-OS sürümleri arasında 10.2.2-h2 öncesi PAN-OS, 10.1.6-h6 öncesi PAN-OS, 10.0.11-h1 öncesi PAN-OS, 9.1.14-h4 öncesi PAN-OS, 9.0.16-h3 öncesi PAN-OS ve 8.1.23-h1 öncesi PAN-OS bulunmaktadır.

Palo Alto Networks'ün tavsiyesine göre; "PAN-OS URL filtreleme politikasının yanlış yapılandırılması, ağ tabanlı bir saldırganın yansıtılmış ve güçlendirilmiş TCP hizmet reddi (RDoS) saldırıları gerçekleştirmesine izin verebilir. DoS saldırısı, saldırganın belirlediği bir hedefe karşı Palo Alto Networks PA Serisi (donanım), VM Serisi (sanal) ve CN Serisi (konteyner) güvenlik duvarından kaynaklanıyor gibi görünebilir."

Danışma belgesinde risk altındaki standart dışı yapılandırma şu şekilde açıklanmaktadır: "Güvenlik duvarı yapılandırması, harici bir ağ arayüzüne sahip bir kaynak bölgesi ile bir güvenlik kuralına atanmış bir veya daha fazla engellenen kategoriye sahip bir URL filtreleme profiline sahip olmalıdır."

Danışma belgesinde, yapılandırmanın muhtemelen ağ yöneticisi tarafından istenmeden yapıldığı belirtildi.

CISA, KEV Kataloğuna Hata Ekledi

Pazartesi günü CISA, Palo Alto Networks hatasını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu listesine ekledi.

CISA Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğu, doğada istismar edilen kusurların derlenmiş bir listesidir. Bu aynı zamanda ajansın, "bilinen tehdit aktörlerinin uzlaşma olasılığını azaltmak" amacıyla "iyileştirmeye öncelik vermek" amacıyla kamu ve özel kuruluşların yakından ilgilenmesini "şiddetle tavsiye ettiği" KEV'lerin bir listesidir.

Yansıtıcı ve Güçlendirici DoS Saldırıları

DDoS ortamındaki en dikkate değer gelişmelerden biri, hacimsel saldırıların zirve boyutundaki büyümedir. Saldırganlar, saldırılarının ölçeğini en üst düzeye çıkarmak amacıyla DNS, NTP, SSDP, CLDAP, Chargen ve diğer protokollerdeki güvenlik açıklarından yararlanmak için yansıtma/güçlendirme tekniklerini kullanmaya devam ediyor.

Yansıtılmış ve güçlendirilmiş hizmet reddi saldırıları yeni değildir ve yıllar geçtikçe giderek daha yaygın hale gelmiştir.

Yoğun etki alanları veya yoğun trafik akışına sahip belirli uygulama altyapıları nedeniyle web sitelerini çevrimdışına almaya yönelik dağıtılmış hizmet reddi saldırıları, her türden işletme için büyük bir zorluk oluşturmaya devam ediyor. Çevrimdışına atılmak geliri, müşteri hizmetlerini ve temel iş işlevlerini etkiliyor ve endişe verici bir şekilde, bu saldırıların arkasındaki kötü aktörler zaman içinde daha da başarılı olmak için yaklaşımlarını geliştiriyorlar.

Sınırlı hacimli DDoS saldırılarının aksine, yansıtıcı ve güçlendirilmiş DoS saldırıları, çok daha yüksek hacimlerde rahatsız edici trafik üretebilir. Bu tür saldırı, saldırganın, saldırı trafiğinin kaynaklarını gizlerken oluşturduğu kötü amaçlı trafik miktarını artırmasına olanak tanır. Örneğin, HTTP tabanlı bir DDoS saldırısı, hedefin sunucusuna gereksiz HTTP istekleri göndererek kaynakları bağlar ve kullanıcıların belirli bir siteyi veya hizmeti kullanmasını engeller.

Son Palo Alto Networks saldırısında kullanıldığına inanılan TCP saldırısı, bir saldırganın

Orijinal kaynak IP'sinin kurbanın IP adresiyle değiştirildiği sahte bir SYN paketini rastgele veya önceden seçilmiş yansıma IP adresleri aralığına gönderir. Yansıma adreslerindeki servisler, sahte saldırının kurbanına SYN-ACK paketi ile yanıt verir. Kurban yanıt vermezse yansıma hizmeti SYN-ACK paketini yeniden iletmeye devam edecek ve bu da amplifikasyonla sonuçlanacaktır. Yükseltmenin miktarı, saldırgan tarafından tanımlanabilen yansıma hizmeti tarafından gerçekleştirilen SYN-ACK yeniden iletimlerinin sayısına bağlıdır.

Paylaş: