Palo Alto Networks PAN-OS Kimlik Doğrulama Baypas Güvenlik Açığı
CVE-2025-0108, Palo Alto Networks'ün PAN-OS'unun yönetim web arayüzünü etkileyen kritik bir güvenlik açığıdır ve yetkisiz saldırganların kimlik doğrulamasını atlatıp belirli PHP betiklerini yürütmesine olanak tanır. Bu kusur, tam Uzaktan Kod Yürütme (RCE) etkinleştirilmemesine rağmen PAN-OS sistemlerinin bütünlüğü ve gizliliği için önemli riskler oluşturur. Güvenlik açığı, saldırganların ayrıcalıkları artırmak için CVE-2024-9474 gibi diğer güvenlik açıklarıyla birleştirerek vahşi doğada aktif olarak istismar edilmiştir.
CVE-2025-0108, Palo Alto Networks'ün PAN-OS'unun yönetim web arayüzünü etkileyen kritik bir güvenlik açığıdır ve yetkisiz saldırganların kimlik doğrulamasını atlatıp belirli PHP betiklerini yürütmesine olanak tanır. Bu kusur, tam Uzaktan Kod Yürütme (RCE) etkinleştirilmemesine rağmen PAN-OS sistemlerinin bütünlüğü ve gizliliği için önemli riskler oluşturur. Güvenlik açığı, saldırganların ayrıcalıkları artırmak için CVE-2024-9474 gibi diğer güvenlik açıklarıyla birleştirerek vahşi doğada aktif olarak istismar edilmiştir.
CVE-2025-0108, Nginx ve Apache'nin PAN-OS yönetim arayüzünde URL isteklerini nasıl ele aldığındaki bir uyumsuzluktan yararlanır. Nginx, ters bir proxy gibi davranarak istekleri Apache'ye iletir. Ancak, URL kod çözme ve yol normalizasyonundaki tutarsızlıklar saldırganların istekleri manipüle etmesine ve kimlik doğrulama kontrollerini atlamasına olanak tanır. Bu, Nginx'i kimlik doğrulaması yapılmamış olarak işaretlemesi için kandıran hazırlanmış HTTP istekleri aracılığıyla elde edilirken, Apache yanlış yorumlanan yollar nedeniyle kimlik doğrulaması olmadan bunları işler.
CVE-2025-0108, Nginx ve Apache'nin PAN-OS yönetim arayüzünde URL isteklerini nasıl ele aldığındaki bir uyumsuzluktan yararlanır. Nginx, ters bir proxy gibi davranarak istekleri Apache'ye iletir. Ancak, URL kod çözme ve yol normalizasyonundaki tutarsızlıklar saldırganların istekleri manipüle etmesine ve kimlik doğrulama kontrollerini atlamasına olanak tanır. Bu, Nginx'i kimlik doğrulaması yapılmamış olarak işaretlemesi için kandıran hazırlanmış HTTP istekleri aracılığıyla elde edilirken, Apache yanlış yorumlanan yollar nedeniyle kimlik doğrulaması olmadan bunları işler.
CVE-2025-0108'in istismarı, sistem yapılandırmalarına yetkisiz erişime, ağ keşfine ve güvenlik kurallarının potansiyel olarak bozulmasına yol açabilir. Diğer güvenlik açıklarıyla birleştiğinde, veri ihlalleri veya fidye yazılımı olayları gibi daha ciddi saldırıları kolaylaştırabilir. 8,8'lik CVSS puanı, ciddiyetini vurgulayarak ağ yöneticileri için yüksek öncelikli bir sorun haline getirir.
CVE-2025-0108'in istismarı, sistem yapılandırmalarına yetkisiz erişime, ağ keşfine ve güvenlik kurallarının potansiyel olarak bozulmasına yol açabilir. Diğer güvenlik açıklarıyla birleştiğinde, veri ihlalleri veya fidye yazılımı olayları gibi daha ciddi saldırıları kolaylaştırabilir. 8,8'lik CVSS puanı, ciddiyetini vurgulayarak ağ yöneticileri için yüksek öncelikli bir sorun haline getirir.
: Güvenlik Duvarı Yapılandırmalarına Yetkisiz Erişim
: Bir saldırgan, açık bir yönetim arayüzüne sahip bir Palo Alto Networks güvenlik duvarı keşfeder. Kimlik doğrulamasını atlayarak ve güvenlik duvarı yapılandırmalarını çıkarmak için tasarlanmış bir PHP betiğini çalıştırarak CVE-2025-0108'i istismar etmek için belirli bir HTTP isteği oluştururlar.
: Saldırgan, çıkarılan yapılandırmaları kullanarak ağ mimarisini haritalandırır ve diğer sistemlerdeki potansiyel güvenlik açıklarını belirler.
: Saldırgan, güvenlik duvarında kök ayrıcalıkları elde etmek için CVE-2025-0108'i CVE-2024-9474 ile birleştirerek webshell'ler veya kripto para madenciliği araçları gibi kötü amaçlı araçları dağıtabiliyor.
:Kuruluş, alışılmadık trafik düzenlerini ve anormal HTTP isteklerini algılayarak, yamaları uygulamaya ve yönetim arayüzüne erişimi kısıtlamaya yönlendirir.
: Güvenlik Duvarı Yapılandırmalarına Yetkisiz Erişim
: Bir saldırgan, açık bir yönetim arayüzüne sahip bir Palo Alto Networks güvenlik duvarı keşfeder. Kimlik doğrulamasını atlayarak ve güvenlik duvarı yapılandırmalarını çıkarmak için tasarlanmış bir PHP betiğini çalıştırarak CVE-2025-0108'i istismar etmek için belirli bir HTTP isteği oluştururlar.
: Saldırgan, çıkarılan yapılandırmaları kullanarak ağ mimarisini haritalandırır ve diğer sistemlerdeki potansiyel güvenlik açıklarını belirler.
: Saldırgan, güvenlik duvarında kök ayrıcalıkları elde etmek için CVE-2025-0108'i CVE-2024-9474 ile birleştirerek webshell'ler veya kripto para madenciliği araçları gibi kötü amaçlı araçları dağıtabiliyor.
:Kuruluş, alışılmadık trafik düzenlerini ve anormal HTTP isteklerini algılayarak, yamaları uygulamaya ve yönetim arayüzüne erişimi kısıtlamaya yönlendirir.
CVE-2025-0108'i hafifletmek için kuruluşlar şunları yapmalıdır:
: PAN-OS'un 10.2.14, 11.0.7 veya 11.2.5 ve üzeri sürümlere güncellendiğinden emin olun.
: Yönetim arayüzü erişimini güvenilir dahili IP adresleriyle sınırlayın ve bir atlama kutusu veya VPN kullanmayı düşünün.
:Yanal hareketleri önlemek için kritik sistemleri izole edin.
: Şüpheli faaliyetleri belirlemek için saldırı tespit sistemlerini ve kayıt izlemeyi kullanın.
CVE-2025-0108'i hafifletmek için kuruluşlar şunları yapmalıdır:
: PAN-OS'un 10.2.14, 11.0.7 veya 11.2.5 ve üzeri sürümlere güncellendiğinden emin olun.
: Yönetim arayüzü erişimini güvenilir dahili IP adresleriyle sınırlayın ve bir atlama kutusu veya VPN kullanmayı düşünün.
:Yanal hareketleri önlemek için kritik sistemleri izole edin.
: Şüpheli faaliyetleri belirlemek için saldırı tespit sistemlerini ve kayıt izlemeyi kullanın.
Çözüm
CVE-2025-0108, proaktif güvenlik açığı yönetiminin ve sağlam güvenlik uygulamalarının önemini vurgular. Bu güvenlik açığının teknik yönlerini anlayarak ve etkili azaltma stratejileri uygulayarak, kuruluşlar ağlarını olası ihlallerden koruyabilir ve güçlü bir siber güvenlik duruşunu sürdürebilir.
CVE-2025-0108, proaktif güvenlik açığı yönetiminin ve sağlam güvenlik uygulamalarının önemini vurgular. Bu güvenlik açığının teknik yönlerini anlayarak ve etkili azaltma stratejileri uygulayarak, kuruluşlar ağlarını olası ihlallerden koruyabilir ve güçlü bir siber güvenlik duruşunu sürdürebilir.
Gerçek dünya olayları nelerdir?
Palo Alto Networks' PAN-OS'deki bir kimlik doğrulama atlama güvenlik açığı olan CVE-2025-0108, gerçek dünya saldırılarında aktif olarak istismar edildi. Bu güvenlik açığıyla ilgili bazı önemli olaylar ve gelişmeler şunlardır:
: CVE-2025-0108 ifşa edildiğinden beri, saldırganların savunmasız Palo Alto Networks güvenlik duvarlarını hedef almasıyla yaygın olarak istismar edildi. GreyNoise, Şubat 2025 ortası itibarıyla 25'ten fazla benzersiz IP'nin dahil olduğu istismar girişimlerinde önemli bir artış izledi .
: Saldırganlar, ayrıcalıkları artırmak ve uzaktan kod yürütme (RCE) gibi daha ciddi sonuçlar elde etmek için CVE-2025-0108'i CVE-2024-9474 ve CVE-2025-0111 gibi diğer güvenlik açıklarıyla birleştiriyor .
:Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aciliyetini vurgulamak ve federal kuruluşlar için bir uyumluluk son tarihi belirlemek amacıyla CVE-2025-0108'i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi .
: İstismar girişimlerinin ABD, Almanya ve Hollanda gibi çeşitli ülkelere kadar uzandığı tespit edildi ve bu da küresel bir tehdit ortamının varlığını gösteriyor .
: CVE-2025-0108 için Kamu Kavram Kanıtları (PoC'ler), saldırganların bunları hızla istismar etmesini kolaylaştıran GitHub gibi platformlarda mevcuttur .
: Palo Alto Networks, etkilenen PAN-OS sürümleri için yamalar yayınladı ve kuruluşlara riskleri azaltmak için yönetim arayüzü erişimini güvenilir IP'lerle sınırlamaları önerildi .
: CVE-2025-0108'in istismarı, güvenlik duvarı yapılandırmalarına ve hassas verilere yetkisiz erişime izin vererek güvenlik kurallarını ve ağ bütünlüğünü potansiyel olarak bozabilir .
: Özellikle federal sektördeki kuruluşlar, savunmasız sistemleri yamamak ve olası ihlalleri önlemek için CISA'nın belirlediği son tarihe uymalıdır .
: Bu güvenlik açığı, düzenli yama, ağ segmentasyonu ve şüpheli etkinliklerin izlenmesi gibi güçlü güvenlik uygulamalarına olan ihtiyacı vurgulamaktadır .