Palo Alto Firewall Güvenlik Açığı Aktif Olarak İstismar Ediliyor: CISA'dan Acil Yama Çağrısı Siber Güvenlik

Palo Alto Firewall Güvenlik Açığı Aktif Olarak İstismar Ediliyor: CISA'dan Acil Yama Çağrısı

Palo Alto Networks güvenlik duvarı yazılımı PAN-OS'ta kritik bir güvenlik açığı aktif olarak istismar ediliyor. CISA, federal kurumlara 9 Eylül'e kada

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Palo Alto Networks'ün PAN-OS yazılımındaki bir güvenlik açığının aktif olarak istismar edildiğini duyurdu. Ajans, kamu ve federal BT güvenlik ekiplerine mevcut yamaları acilen uygulamaları çağrısında bulundu. Federal kurumların, söz konusu açığı 9 Eylül 2024'e kadar kapatmaları zorunlu tutuldu. Bu uyarı, özellikle PA-Serisi, VM-Serisi ve CN-Serisi cihazlar başta olmak üzere, PAN-OS çalıştıran tüm güvenlik duvarı sistemlerini hedef alıyor.

Geçtiğimiz haftalarda Palo Alto Networks, yüksek önem dereceli bu açık için (CVE-2022-0028) bir yama yayınlamıştı. Şirket, saldırganların bu açığı kullanarak yansıtmalı ve yükseltilmiş (amplified) hizmet engelleme (DoS) saldırıları gerçekleştirebileceğini belirtiyor. Bu saldırı türünde, saldırganın hedef sisteme kimlik doğrulaması yapmasına gerek kalmıyor; zayıf nokta, güvenlik duvarının URL filtreleme politikasındaki bir yanlış yapılandırmadan kaynaklanıyor.

Palo Alto Networks'ün danışma belgesine göre, açık yalnızca belirli koşullar altında ve sınırlı sayıda sistemde istismar edilebiliyor. Ancak CISA, bu açığın halihazırda aktif olarak kullanıldığını doğruladı. Güvenlik açığı, özellikle güvenlik duvarı yapılandırmasında URL filtreleme profili engellenmiş kategoriler içeren bir güvenlik kuralına sahip olduğunda ve kaynak bölge harici bir ağ arayüzüne sahip olduğunda ortaya çıkıyor. Bu yapılandırma, ağ yöneticileri tarafından genellikle istenmeyen bir durum olarak tanımlanıyor.

Önemli Gelişmeler

CISA, bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. KEV kataloğu, vahşi ortamda istismar edildiği doğrulanmış zafiyetlerin bir listesi olarak işlev görüyor. Ajans, hem kamu hem de özel sektör kuruluşlarının bu listeye özellikle dikkat etmesini ve 'bilinen tehdit aktörleri tarafından tehlikeye atılma olasılığını azaltmak için' bu açıkları öncelikli olarak kapatmasını şiddetle tavsiye ediyor.

Gelecekte Ne Bekleniyor?

Yansıtmalı ve yükseltilmiş DoS saldırıları, son yıllarda DDoS saldırılarının en önemli evrimlerinden biri haline geldi. Bu teknikler, DNS, NTP, SSDP, CLDAP, Chargen gibi protokollerdeki güvenlik açıklarını kullanarak saldırı hacmini katlayabiliyor. Palo Alto Networks'e yönelik saldırıda kullanıldığı düşünülen TCP tabanlı yansıtma yönteminde, saldırgan sahte bir SYN paketi gönderiyor; bu pakette kaynak IP, kurbanın IP adresiyle değiştiriliyor. Ardından, yansıtma hizmeti SYN-ACK paketleriyle yanıt veriyor ve kurban bu paketleri almaya devam ediyor. Bu işlem, saldırının büyüklüğünü önemli ölçüde artırıyor.

Sonuç ve Değerlendirme

Palo Alto Networks, güvenlik açığının yalnızca belirli, yaygın olmayan yapılandırmalarda etkili olduğunu belirtse de, CISA'nın uyarısı bu açığın ciddiyetini gösteriyor. Kullanıcıların, etkilenen PAN-OS sürümlerini (10.2.2-h2, 10.1.6-h6, 10.0.11-h1, 9.1.14-h4, 9.0.16-h3 ve 8.1.23-h1 öncesi) kontrol ederek en kısa sürede güncelleme yapmaları öneriliyor. Bu tür güvenlik açıkları, özellikle kurumsal ağlarda büyük kesintilere yol açabileceğinden, BT ekiplerinin proaktif bir yaklaşım benimsemesi hayati önem taşıyor.

Kaynak: threatpost.com

Paylaş: