CISA, Palo Alto Networks Expedition aracında kritik bir kimlik doğrulama hatası keşfedildiğini ve saldırganların bunu kullanarak, Checkpoint, Cisco gibi firmaların güvenlik duvarı yapılandırmalarını PAN-OS'a taşıyan bu aracı ele geçirebildiğini açıkladı. CVE-2024-5910 olarak takip edilen bu güvenlik açığı, Temmuz ayında yamalanmıştı ancak saldırganlar, İnternet’e açık Expedition sunucularında yönetici kimlik bilgilerini sıfırlayabiliyor.
CISA'nın açıklamalarına göre, saldırganlar, ağ erişimi sağlayarak Expedition yöneticisi hesabını ele geçirebilir ve yapılandırma bilgilerini, kimlik bilgilerini ve diğer verileri erişebilir hale getirebilir.
Ekim ayında Horizon3.ai araştırmacısı Zach Hanley, bu açığı CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek, kimlik doğrulaması gerektirmeyen komut yürütme işlemleri gerçekleştirebileceğini gösteren bir kanıt sundu. Bu güvenlik açığı, Palo Alto Networks tarafından Ekim ayında yamalanmıştı.
Yöneticilerin, güvenlik güncellemeleri hemen yüklenemiyorsa, Expedition aracının yalnızca yetkilendirilmiş kullanıcılar veya ağlar tarafından erişilmesini sağlamaları öneriliyor. Ayrıca, güncellenmiş versiyon yüklendikten sonra tüm kullanıcı adı, şifre ve API anahtarlarının değiştirilmesi gerektiği belirtiliyor.
CISA, bu açığı, tanınmış güvenlik açıkları kataloğuna ekledi ve ABD federal ajanslarının, 28 Kasım’a kadar bu açığı kapatmak zorunda olduğunu duyurdu.
