CVE-2024-3400: PAN-OS'ta Kritik Bir Komut Enjeksiyonu Güvenlik Açığı

PAN-OS'ta Kritik Bir Komut Enjeksiyonu Güvenlik Açığı

CVE-2024-3400

CVE-2024-3400, Palo Alto Networks'ün PAN-OS yazılımının GlobalProtect özelliğinde tanımlanan kritik bir komut enjeksiyonu güvenlik açığıdır. Bu güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen güvenlik duvarlarında kök ayrıcalıklarıyla keyfi kod yürütmesine olanak tanır ve bu teknolojiye güvenen kuruluşlar için önemli güvenlik riskleri oluşturur. Güvenlik açığına  , kritik önem derecesini gösteren 10.0 CVSS puanı atanmıştır.

Güvenlik Açığı Açıklaması

Güvenlik açığı, GlobalProtect özelliğinde kullanıcı girdisinin uygunsuz işlenmesi nedeniyle keyfi dosya oluşturulmasından kaynaklanır. Özellikle, saldırganların HTTP POST isteklerinde kötü biçimlendirilmiş oturum tanımlayıcıları (SESSID) aracılığıyla komut enjekte etmesine olanak tanır. Bu istismar, güvenlik duvarının işletim sisteminin yetkisiz erişimine ve manipülasyonuna yol açabilir.Etkilenen Sürümler:

• PAN-OS'un 10.2, 11.0 ve 11.1 sürümleri özellikle güvenlik açığına sahip olarak belirtiliyor.
• Cloud NGFW, Panorama cihazları ve Prisma Access   bu güvenlik açığından etkilenmemektedir .

Exploit Mekanizması

Saldırganlar, savunmasız GlobalProtect arayüzüne özel olarak hazırlanmış HTTP istekleri göndererek CVE-2024-3400'ü istismar edebilir. Aşağıdaki örnek, bir saldırganın bir istismarı nasıl gerçekleştirebileceğini göstermektedir:

metin
POST /ssl-vpn/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/images/poc.txt; Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

Bu istekte saldırgan, kök ayrıcalıklarıyla yürütülebilecek bir konumda bir dosya ( ) oluşturmak için yol geçiş tekniklerini kullanır.poc.txt

Potansiyel Etki

Bir saldırgan bu güvenlik açığını başarıyla istismar ettiğinde şunları yapabilir:

• Güvenlik duvarında keyfi komutları çalıştırın.
• Hassas yapılandırma verilerini toplayın.
• Kötü amaçlı yazılım yüklerini dağıtın.
• Ağ içerisinde yanal olarak hareket edin.

Gerçek Dünya Senaryoları

1. İşletmelere Yönelik Hedefli Saldırılar : Nisan 2024'te, raporlar tehdit aktörlerinin çeşitli kuruluşlara karşı CVE-2024-3400'ü aktif olarak kullandığını ve bunun da yetkisiz erişime ve olası veri ihlallerine yol açtığını gösterdi. Güvenlik açığı olan PAN-OS sürümlerini kullanan kuruluşlar özellikle risk altındaydı.
2. Güvenlik İhlali Örneği : Bir finans kurumu, güvenlik duvarı kayıtlarında olağandışı bir etkinlik fark ettikten sonra yetkisiz erişimi keşfetti. Soruşturma sonucunda, saldırganların kök erişimi elde etmek ve hassas müşteri verilerini sızdırmak için CVE-2024-3400'ü kullandıkları ortaya çıktı.

Exploit Genel Bakışı

1. Yaygın İstismar : Deepwatch, CVE-2024-3400'ün yaygın istismar girişimleri gördüğünü bildirdi ve bu, 10.0'lık kritik önem puanı nedeniyle tehdit aktörlerinin önemli ilgisini gösteriyor. Güvenlik açığı, GlobalProtect etkinleştirilmiş belirli PAN-OS sürümlerini etkiliyor . 
2. Sıfır Gün Etkinliği : Volexity, saldırganların güvenlik duvarı cihazlarına sıfır bayt dosyaları yerleştirerek istismar edilebilirliği doğrulayarak güvenlik açığını test ettiği 26 Mart 2024'te başlayan sıfır gün istismarını tespit etti. 10 Nisan'a kadar başarılı istismar doğrulandı ve ters kabukların kurulmasına ve tehlikeye atılmış cihazlara ek araçların indirilmesine yol açtı .
3. Arka Kapı Dağıtımı : Saldırganlar, UPSTYLE adlı özel bir Python arka kapısını  tehlikeye atılmış güvenlik duvarlarına dağıtmaya çalıştı  . Bu arka kapı, özel olarak hazırlanmış ağ istekleri aracılığıyla daha fazla komut yürütülmesine olanak tanır
   1
   3
   Arka kapı ,  hata günlükleri ve herkesin erişebildiği stil sayfalarıyla etkileşime girerek komut yürütme için benzersiz bir mekanizma kullanır . 
4. Yanal Hareket : Erişim sağlandıktan sonra saldırganların cihaz yapılandırma verilerini sızdırdıkları ve kurban ağları içinde yanal olarak hareket ettikleri, böylece ek sistemleri ve hassas bilgileri tehlikeye attıkları gözlemlenmiştir .

Azaltma Önerileri

CVE-2024-3400'ün aktif olarak kullanılması göz önüne alındığında, etkilenen PAN-OS sürümlerini kullanan kuruluşlar derhal harekete geçmelidir:

• Hemen Yama Yapın : Palo Alto Networks, 14 Nisan 2024'te güvenlik açığı bulunan sürümler (11.1.2-h3, 11.0.4-h1 ve 10.2.9-h1) için düzeltmeler yayınladı. Kuruluşların bu güncellemeleri gecikmeden uygulamaları önemle rica olunur .
• Trafiği İzleyin : İstismar girişimlerini veya yetkisiz erişimi gösterebilecek olağandışı ağ trafiği modellerini izlemeyi uygulayın.
• Tehdit Önleme Tedbirleri : Hemen güncelleme yapamayan kuruluşlar için Palo Alto'nun Tehdit Önleme aboneliği, belirli Tehdit Kimliklerini (95187, 95189 ve 95191) kullanarak bu güvenlik açığıyla ilgili saldırıları engelleyebilir 

Çözüm 

CVE-2024-3400, Palo Alto Networks'ün PAN-OS yazılımını kullanan kuruluşlar, özellikle de GlobalProtect özelliğinin güvenlik açığı olan yapılandırmalarına sahip olanlar için önemli bir tehdit oluşturmaktadır. Kimliği doğrulanmamış saldırganların kök ayrıcalıklarıyla keyfi kod yürütme yeteneği, etkilenen kullanıcılardan derhal dikkat ve eylem gerektirmektedir. Kuruluşlar, bu kritik güvenlik açığıyla ilişkili riskleri azaltmak için sistemlerini yamalamayı ve genel güvenlik duruşlarını geliştirmeyi önceliklendirmelidir.