Yeni Güvenlik Açıkları Tehlike Saçıyor
Kötü niyetli bilgisayar korsanları, siber güvenlik devi Palo Alto Networks tarafından üretilen yaygın yazılımlardaki iki yeni sıfırıncı gün açığını kullanarak potansiyel olarak binlerce kuruluşu tehlikeye attı.
Yetenekli Araştırmacılardan Açıklama
Palo Alto Networks’ün güvenlik araştırmacıları, çarşamba günü yaptıkları açıklamada, PAN-OS’de (Palo Alto’nun nesil güvenlik duvarlarını çalıştıran işletim sistemi) iki güvenlik açığı ile ilgili sınırlı bir istismar faaliyetinin gözlemlendiğini belirtti. Bu eksiklikler, şirketin açıkları istismar edilmeden önce yamanacak süre bulamamasından dolayı sıfırıncı gün açığı olarak kabul ediliyor.
Açıkların Ciddiyeti
İki açığın istismar edildiği belirtilirken, bunlardan biri CVE-2024-0012 olarak adlandırılıyor. Bu açık, bir saldırganın yönetim web arayüzüne ağdan erişim sağlaması halinde, yönetici haklarına sahip olmasına olanak tanıyor. Diğer açık, CVE-2024-9474 ise saldırganın, ele geçirilen güvenlik duvarında daha yüksek kök yetkileri ile işlem yapmasına imkan veriyor.
Bu açıklar birlikte kullanıldığında, bir saldırganın, yüksek yetkilerle etkilenen güvenlik duvarlarına uzaktan kötü amaçlı kod yerleştirmesi mümkün. Bu da, bir şirketin ağında daha derin erişim elde edilmesine yol açabiliyor.
Etkilenen Cihazlar ve Saldırılar
Palo Alto Networks, saldırganların şu anda bu iki açığı birleştirerek kendi işlevsel istismarlarını kullanarak, internet üzerinden açıktaki belirli cihaz yönetim web arayüzlerine hedef aldıklarını belirtti.
Shadowserver Vakfı’nın yaptığı incelemelere göre, şu ana kadar 2,000’den fazla etkilenmiş güvenlik duvarının bu açıkları kullanılarak ele geçirildiği tespit edildi. En çok etkilenen cihazlar Amerika Birleşik Devletleri’nde bulunmakta, ardından Hindistan gelmekte, ayrıca Birleşik Krallık, Avustralya ve Çin’de de açıkların istismar edildiği görülmekte.
Palo Alto Networks, TechCrunch tarafından sorulduğunda kaç güvenlik duvarının etkilendiğini doğrulamadı.
Uzmanların Uyarıları ve Önlemler
Amerika Birleşik Devletleri siber güvenlik şirketi Arctic Wolf, araştırmacılarının 19 Kasım itibarıyla bu iki Palo Alto açıklarını istismar eden kötü niyetli saldırganların, müşteri ağlarına sızdıklarına dair tespitlerini de duyurdu. “Başarılı bir istismar gerçekleştiğinde, tehdit aktörlerinin ortamlarına araç aktarmaya ve ele geçirilen cihazlardan yapılandırma dosyalarını dışa çıkarmaya çalıştıklarını gözlemledik” dedi Arctic Wolf’teki tehdit istihbarat araştırmacılarından Andres Ramos.
Palo Alto Networks, bu iki açık için yamanmış güncellemeleri yayımladı ve kuruluşları mümkün olan en kısa sürede yama yapmaları konusunda uyardı. ABD siber güvenlik ajansı CISA da bu iki açığı Bilinen İstismar Edilmiş Açıklar Kataloğu’na ekledi. Böylece sivil federal ajansların, sistemlerini üç hafta içinde yamasını zorunlu kıldı.
Açıkların Nedenleri ve Sonuçları
Güvenlik firması watchTowr Labs’den gelen bilgiler, Palo Alto’nun yayınladığı yamaların tersine mühendisliğini yaparak bu açıkların temel geliştirme sürecindeki basit hatalardan kaynaklandığını belirtmekte. Bu, son aylarda güvenlik duvarları, VPN ürünleri ve uzak erişim araçları gibi kurumsal güvenlik cihazlarında bulunan yeni zafiyetlerin sonuncusu. Ayrıca, Palo Alto Networks’ün bu yılki ikinci büyük güvenlik uyarısı olduğu belirtildi. Diğer siber güvenlik tedarikçileri olan Ivanti ve Check Point tarafından geliştirilen benzer ürünlerde de benzer açıklar tespit edilmiştir.
