Palo Alto Networks, kötü niyetli bilgisayar korsanlarının kurumsal ağlara sızmak için bu açıktan yararlanmaya başlamasının ardından bu hafta şirketleri, yaygın olarak kullanılan güvenlik ürünlerinden birinde yeni keşfedilen sıfır gün güvenlik açığına karşı yama yapmaya çağırdı.
Güvenlik açığı resmi olarak CVE-2024-3400 olarak biliniyor ve Palo Alto’nun GlobalProtect güvenlik duvarı ürünlerinde çalışan PAN-OS yazılımının daha yeni sürümlerinde bulundu. Güvenlik açığı, bilgisayar korsanlarının etkilenen güvenlik duvarının internet üzerinden kimlik doğrulaması olmadan tam kontrolünü ele geçirmesine olanak tanıdığından, Palo Alto hataya maksimum önem derecesi verdi. Bilgisayar korsanlarının açıktan uzaktan yararlanabilme kolaylığı, güvenlik duvarlarına güvenen binlerce şirketi izinsiz girişlere karşı risk altına sokuyor.
Palo Alto dedi ki Müşteriler etkilenen sistemlerini güncellemelidir, şirketin bu sıfır günü istismar eden “artan sayıda saldırının farkında” olduğu uyarısında bulundu; bu şekilde tanımlandı çünkü şirketin hatayı kötü niyetli bir şekilde istismar edilmeden önce düzeltmek için zamanı yoktu. Başka bir komplikasyon ekleyen Palo Alto, başlangıçta güvenlik açığını azaltmak için telemetrinin devre dışı bırakılmasını önerdi, ancak bu hafta telemetriyi devre dışı bırakmanın istismarı engellemediğini söyledi.
Şirket ayrıca herkesin sıfır günü istismar eden saldırılar başlatmasına olanak tanıyan halka açık bir kavram kanıtlama kodu bulunduğunu da söyledi.
Kötü niyetli internet faaliyetlerine ilişkin verileri toplayan ve analiz eden kar amacı gütmeyen bir kuruluş olan Shadowserver Vakfı, şunları söyledi: verileri gösteriyor Binlerce kuruluşu temsil eden, internete bağlı, potansiyel olarak etkilenen 156.000’den fazla Palo Alto güvenlik duvarı cihazı bulunmaktadır.
Güvenlik firması Volexity, Güvenlik açığını ilk keşfeden ve Palo Alto’ya bildiren şirket, Palo Alto’nun düzeltmeleri yayınlamasından yaklaşık iki hafta önce, 26 Mart’a kadar uzanan kötü niyetli istismara dair kanıtlar bulduğunu söyledi. Volexity, UTA0218 olarak adlandırdığı hükümet destekli bir tehdit aktörünün, bir arka kapı yerleştirmek ve kurbanlarının ağlarına daha fazla erişim sağlamak için bu güvenlik açığından yararlandığını söyledi. UTA0218’in çalıştığı hükümet veya ulus devlet henüz bilinmiyor.
Palo Alto’nun sıfır günü, son aylarda güvenlik duvarları, uzaktan erişim araçları ve VPN ürünleri gibi kurumsal güvenlik cihazlarını hedef alan keşfedilen bir dizi güvenlik açığının en sonuncusu. Bu cihazlar, kurumsal bir ağın ucunda yer alır ve dijital kapı denetleyicileri olarak işlev görür, ancak güvenliklerini ve savunmalarını tartışmalı hale getiren ciddi güvenlik açıkları içerme eğilimindedir.
Bu yılın başlarında, güvenlik sağlayıcısı Ivanti, çalışanların internet üzerinden bir şirketin sistemlerine uzaktan erişmesine olanak tanıyan VPN ürünü Connect Secure’da birçok kritik sıfır gün güvenlik açığını giderdi. O zamanlar Volexity, izinsiz girişleri Çin destekli bir bilgisayar korsanlığı grubuyla ilişkilendirdi ve kusurun kitlesel olarak istismar edilmesi bunu hızla takip etti. Ivanti’nin ürünlerinin yaygın kullanımı göz önüne alındığında, ABD hükümeti federal kurumları sistemlerine yama yapmaları konusunda uyardı ve ABD Ulusal Güvenlik Ajansı da ABD savunma sanayii üssündeki potansiyel istismarı takip ettiğini söyledi.
BT yöneticileri tarafından uzaktan teknik destek sağlamak için kullanılan popüler ekran paylaşım aracı ScreenConnect’i yapan teknoloji şirketi ConnectWise, araştırmacıların “sömürülmesi utanç verici derecede kolay” olarak nitelendirdiği güvenlik açıklarını düzeltti ve aynı zamanda kurumsal ağların kitlesel olarak istismar edilmesine yol açtı.
TechCrunch’ta daha fazlasını okuyun: