Palo Alto PAN-OS GlobalProtect ağlarına yapılan saldırılar

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Bir güvenlik açığı Palo Alto Networks'ün PAN-OS işletim sistemini etkiliyor. Saldırganların güvenlik önlemlerini atlamasına olanak tanıyor ve şu anda vahşi ortamda saldırıya uğruyor.

Duyurudan sonra devamını okuyun

ABD siber güvenlik kurumu CISA şu anda bu konuda alarm veriyor. CVE-2026-0257 güvenlik açığı numarasının ötesinde başka bilgi yok. Palo Alto, Mayıs ortasında güvenlik açığını bildirdi ve hafta sonu söylentiyi güncelledi. Sonuç olarak, saldırganlar GlobalProtect portalında ve PAN-OS ağ geçidinde kimlik doğrulamayı atlayabilir, böylece güvenlik önlemlerini atlayabilir ve yetkisiz VPN bağlantıları kurabilir (CVE-2026-0257, CVSS4) 7.8risk”yüksek“). Ancak Palo Alto aciliyeti “maksimum” olarak sınıflandırıyor.

Tüm yapılandırmalar güvenlik açığından etkilenmez. GlobalProtect portalında veya ağ geçidinde “Kimlik doğrulama çerezleri yoksay” seçeneği etkinleştirilmelidir. Palo Alto bu seçeneğin varsayılan olarak etkin olup olmadığından bahsetmiyor ancak BT yöneticilerine ayarı kontrol etmelerini tavsiye ediyor. Girişte yapılan güncelleme artık Palo Alto Networks'ün yama yapılmamış PAN-OS cihazlarına yönelik sınırlı sayıda saldırı girişiminden haberdar olduğunu belirten bir not içeriyor. PAN-OS sürümü 10.2, 11.1, 11.2 ve 12.1 dallarının yanı sıra Prisma Access 10.2 ve 11.2 de etkilenmektedir; Palo Alto, çeşitli küçük sürümler için güncellemeler sağlar.

Ancak Rapid7, bir blog yazısında gözlemlenen saldırıların bir analizini sunuyor. Siber güvenlik şirketinden siber araştırmacılar, bu güvenlik açığına yönelik ilk saldırı girişimlerini 17 Mayıs gibi erken bir tarihte gözlemledi. “Şüpheli VPN Kimlik Doğrulaması – Genel İnsan Dışı Kimlik Aracılığıyla Yerel Hesap Erişimi” uyarı mesajını aldınız ve incelediniz. Etkilenen birkaç müşterinin ortak noktası, Bulut Kimlik Doğrulama Hizmetinin (CAS) devre dışı bırakılması ve kimlik doğrulama geçersiz kılma çerezlerinin etkinleştirilmesidir. 21 Mayıs'ta ikinci bir saldırı dalgası meydana geldi ve Rapid7, gözlemlenen ana bilgisayar kimliklerine dayanarak ilk dalgayla aynı saldırganları tanımladı. İkinci saldırı dalgası, IP adresi atamasıyla VPN erişimine ve dolayısıyla iç ağlara erişime yol açtı. İlgili taraflar, blog yazısında başarılı saldırılara (Uzlaşma Göstergeleri, IOC) ilişkin daha ayrıntılı bilgi ve bilgiler bulabilirler.

BT yöneticileri mevcut güncellemeleri hızlı bir şekilde yüklemeli ve gerekirse sistemlerinde IOC olup olmadığını kontrol etmelidir. Ağ ekipmanı üreticisi Palo Alto'nun cihazlarındaki boşluklar genellikle ağlara erişime izin verdikleri için siber suçluların ilgisini çekiyor. Mayıs ayının başında saldırganlar başka bir PAN-OS güvenlik açığına saldırdı. Güvenlik açığını kapatmaya yönelik güncellemeler hâlâ beklemedeydi.


(Bilmiyorum)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir