Palo Alto Networks bugün müşterileri, saldırganların PAN-OS güvenlik duvarlarını ele geçirmesine izin vermek için zincirlenebilecek güvenlik açıklarını (kamu istismar kodu ile) yamaları konusunda uyardı.
Kusurlar, diğer kontrol noktasından, Cisco veya desteklenen satıcılardan yapılandırmaların taşınmasına yardımcı olan Palo Alto Networks'ün keşif çözümünde bulundu.
Güvenlik duvarı yönetici hesaplarını devralmaya yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişmek için kullanılabilirler.
Şirket, "Palo Alto Networks Expedition'daki birden fazla güvenlik açığı, bir saldırganın keşif veritabanı içeriğini ve keyfi dosyaları okumasına ve keşif sistemindeki geçici depolama yerlerine keyfi dosyalar yazmasına izin veriyor." Dedi.
"Birleşik, bunlar kullanıcı adları, temiz metin şifreleri, cihaz yapılandırmaları ve PAN-OS güvenlik duvarlarının cihaz API anahtarları gibi bilgileri içerir."
Bu hatalar komut enjeksiyonu, yansıtılan siteler arası komut dosyası (XSS), hassas bilgilerin açık metin depolanması, eksik kimlik doğrulaması ve SQL enjeksiyon güvenlik açıklarının bir kombinasyonudur:
Horizon3.i güvenlik açığı araştırmacısı Zach Hanley, dört böceğin dördünü bulan ve bildiren, CVE-2024-5910 güvenlik açığını araştırırken bu kusurlardan üçünü nasıl bulduğunu detaylandıran bir kök neden analizi yazısı yayınladı (açıklandı ve yamalı Temmuz), bu, saldırganların Expedition uygulaması yönetici kimlik bilgilerini sıfırlamasına izin verir.
Hanley ayrıca, CVE-2024-5910 yönetici sıfırlama kusurunu, CVE-2024-9464 komut enjeksiyon enjeksiyonu ile, haksız keşif sunucularında "kimlik doğrulanmamış" keyfi komut yürütme kazanmak için zincirleyen bir kavram kanıtı yayınladı.
Palo Alto Networks, şimdilik, güvenlik kusurlarının saldırılarda kullanıldığına dair bir kanıt olmadığını söylüyor.
Palo Alto Networks bugün, "Listelenen tüm sorunlar için düzeltmeler Expedition 1.2.96'da ve daha sonraki tüm keşif sürümlerinde mevcuttur. CVE-2024-9466'dan etkilenen temiz metin dosyası yükseltme sırasında otomatik olarak kaldırılacak."
"Tüm keşif kullanıcı adları, şifreler ve API anahtarları, Expedition'ın sabit sürümüne yükseltildikten sonra döndürülmelidir. Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreler ve API anahtarları güncellendikten sonra döndürülmelidir."
Bugünün güvenlik güncellemelerini hemen dağıtamayan yöneticiler, Serpetition Network erişimini yetkili kullanıcılara, ana bilgisayarlara veya ağlara kısıtlamalıdır.
Nisan ayında, şirket, Mart ayından bu yana UTA0218 olarak izlenen bir devlet destekli tehdit oyuncusu tarafından aktif olarak sömürülen maksimum-şiddetli sıfır gün hatası için hotfixes yayınlamaya başladı.
Ağustos ayından bu yana halka açık istismar ile whatsup altın hedefliyor
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
Kritik Ivanti RCE kusuru için piyasaya sürülen istismar kodu, şimdi yama
E -postaları kullanarak arka kapı sunucularına sömürülen kritik Zimbra RCE kusuru
Kritik Ivanti VTM Auth Bypass Bug şimdi saldırılarda sömürüldü
Kaynak: Bleeping Computer