Önde gelen bir güvenlik sağlayıcısı, müşterilerini, saldırganların geçen ay yamaladığı ürünlerinden birinde yüksek önem derecesine sahip bir CVE'den aktif olarak yararlandıkları konusunda uyardı.
CVE-2026-0257, GlobalProtect portalında ve Palo Alto Networks'ün PAN-OS yazılımının ağ geçidinde bulunan bir kimlik doğrulama atlama güvenlik açığıdır.
Adından da anlaşılacağı gibi, bir saldırganın güvenlik kısıtlamalarını atlamasına ve yetkisiz bir VPN bağlantısı kurmasına olanak sağlayabilir.
Hatanın CVSS puanı 7,8'dir. Güncelleme 13 Mayıs'ta yayınlanmasına rağmen Palo Alto Cuma günü yaptığı açıklamada, "hafifletici önlemler uygulanmadan yamalı PAN-OS cihazlarında sınırlı yararlanma girişimlerinden haberdar olduğunu" söyledi.
Sistem Güvenliği
Palo Alto Networks: Hackerlar Zinciri'nin Üç Palo Alto Network Güvenlik Duvarı Kusurunu İstismar Etmesi hakkında daha fazlasını okuyun.
Güvenlik açığına orta önem derecesi verildi. Bunun nedeni, yalnızca "kimlik doğrulama geçersiz kılma çerezleri etkinleştirildiğinde ve belirli bir sertifika yapılandırması mevcut olduğunda" GlobalProtect portalı veya ağ geçidi yapılandırılmış güvenlik duvarlarını etkilemesidir.
Ancak son günlerdeki çok sayıda istismar girişiminin ardından bu oran "yüksek" seviyeye çıkarıldı.
Detaylar ve Etkileri
Kritik Bir Güncelleme
Rapid7, güvenlik açığının 18 ve 21 Mayıs'tan itibaren muhtemelen aynı aktör tarafından iki dalga halinde istismar edildiğini söyleyerek kuruluşlara güvenlik açığını "kritik" olarak ele almaları yönünde çağrıda bulundu.
Kenara bakan bir VPN cihazında kimlik doğrulamanın atlanmasının kurumsal müşteriler üzerinde büyük bir etkiye sahip olabileceği konusunda uyardı.
Firma şöyle devam etti: "Rapid7, çerez kimlik doğrulamasının ardından VPN IP atamasını gözlemledi ve onlara dahili ağa erişim izni verdi. Şu anda Rapid7, VPN atamasının neden yalnızca istismar edilen müşterilerin bir alt kümesi için gerçekleştiğini doğrulayamıyor."
Nasıl Önlem Alınmalı?
"Rapid7, birden fazla müşteride sahte çerezler kullanan kimlik doğrulama araştırmaları yoluyla başarılı bir istismar gözlemledi, ancak cihaz, etkilenen 10 MDR müşterisinden 8'inde tam bir VPN oturumu kurulmadan çerezi kabul etti."
GlobalProtect VPN kullanıcılarının hemen yama yapmaları rica olunur. Eğer bunu başaramazlarsa, Palo Alto Networks iki olası önlemi sıraladı:
Teknik Analiz
GlobalProtect portalında ve ağ geçidi yapılandırmasında kimlik doğrulamayı geçersiz kılmayı devre dışı bırakın
Kimlik doğrulama geçersiz kılma çerezleri için özel olarak yeni bir sertifika oluşturun. Güvenli bir şekilde saklayın ve yeniden kullanmayın veya başka kullanıcılarla paylaşmayın
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0257'yi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuna ekleyerek federal sivil kurumların 1 Haziran'a kadar yama yapmasını gerektiriyor.