Palo Alto Networks, geçtiğimiz ay yamadığı bir güvenlik açığının saldırganlar tarafından aktif olarak istismar edildiği konusunda müşterilerini uyardı. CVE-2026-0257 olarak izlenen bu zafiyet, PAN-OS yazılımının GlobalProtect portal ve ağ geçidinde bir kimlik doğrulama atlatma (authentication bypass) güvenlik açığıdır. Adından da anlaşılacağı gibi, bu güvenlik açığı bir saldırganın güvenlik kısıtlamalarını aşmasına ve yetkisiz bir VPN bağlantısı kurmasına olanak tanıyabilir. Palo Alto Networks, 13 Mayıs'ta yamayı yayınlamış olsa da, 24 Mayıs Cuma günü yaptığı açıklamada, "geçici çözüm uygulanmamış, yamasız PAN-OS cihazlarında sınırlı sayıda istismar girişimi tespit edildiğini" bildirdi.
Zafiyet başlangıçta orta önem dereceli olarak sınıflandırılmıştı. Bunun nedeni, yalnızca GlobalProtect portal veya ağ geçidi yapılandırmasında "kimlik doğrulama geçersiz kılma çerezleri (authentication override cookies) etkin olduğunda ve belirli bir sertifika yapılandırması mevcut olduğunda" etkilenmesiydi. Ancak son günlerdeki birden fazla istismar girişiminin ardından önem derecesi "yüksek" olarak güncellendi. CVSS puanı 7.8 olan bu güvenlik açığı, özellikle kurumsal ağlarda ciddi riskler oluşturuyor.
Rapid7, kuruluşları bu güvenlik açığını "kritik" olarak ele almaya çağırdı ve zafiyetin 18 ve 21 Mayıs'ta başlayan iki dalga halinde, büyük olasılıkla aynı aktör tarafından istismar edildiğini belirtti. Rapid7, uçta bulunan bir VPN cihazında kimlik doğrulama atlatmanın kurumsal müşteriler üzerinde büyük bir etki yaratabileceği uyarısında bulundu. Rapid7'nin gözlemlerine göre, istismar girişimlerinde sahte çerezler kullanılarak kimlik doğrulama probları yapıldı ve bazı durumlarda tam bir VPN oturumu kurulmadan cihazın çerezi kabul ettiği tespit edildi.
Rapid7 ayrıca, başarılı istismar sonrası saldırganlara VPN IP adresi atandığını ve böylece iç ağa erişim sağlandığını gözlemledi. Ancak VPN atamasının neden yalnızca istismar edilen müşterilerin bir alt kümesinde gerçekleştiği henüz netlik kazanmış değil. Rapid7, 10 etkilenen MDR müşterisinden 8'inde tam bir VPN oturumu kurulmadan cihazın çerezi kabul ettiğini, ancak yine de yetkisiz erişim sağlandığını belirtti. Bu durum, güvenlik açığının ciddiyetini bir kez daha ortaya koyuyor.
Sistem Güvenliği
GlobalProtect VPN kullanıcılarının acilen yama uygulaması gerekiyor. Yama uygulanamıyorsa, Palo Alto Networks iki olası geçici çözüm sunuyor: GlobalProtect portal ve ağ geçidi yapılandırmasında kimlik doğrulama geçersiz kılma özelliğini devre dışı bırakmak ve kimlik doğrulama geçersiz kılma çerezleri için özel olarak yeni bir sertifika oluşturmak. Oluşturulan sertifikanın güvenli bir şekilde saklanması ve başka kullanıcılarla paylaşılmaması veya yeniden kullanılmaması önemle tavsiye ediliyor.
Önemli Gelişmeler
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0257'yi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi ve federal sivil kurumların bu güvenlik açığını 1 Haziran'a kadar yamasını zorunlu kıldı. Bu gelişme, zafiyetin ne kadar kritik olduğunu ve acil müdahale gerektirdiğini gösteriyor. Kurumların ve işletmelerin, PAN-OS cihazlarını derhal güncellemeleri ve geçici çözümleri uygulamaları, olası bir ihlalin önüne geçmek için hayati önem taşıyor.
Kaynak: infosecurity-magazine.com