Siemens, Palo Alto Networks (PAN) Sanal NGFW ile yapılandırılmış Ruggedcom APE1808 cihazlarını kullanan kuruluşlara, PAN’ın yakın zamanda yeni nesil güvenlik duvarı ürününde açıkladığı maksimum önem derecesine sahip sıfır gün hatasına yönelik geçici çözümler uygulamaya çağırıyor.
Komut enjeksiyon güvenlik açığı olarak tanımlanan CVE-2024-3400, belirli özellikler etkinleştirildiğinde PAN-OS güvenlik duvarlarının birden çok sürümünü etkiler. Bir saldırgan, etkilenen güvenlik duvarlarına yeni bir Python arka kapısı dağıtmak için bu kusurdan yararlanıyor.
Aktif Olarak İstismara Uğradı
PAN hatayı düzeltti Volexity’den araştırmacılar bu güvenlik açığını keşfettikten ve bunu bu ayın başlarında güvenlik sağlayıcısına bildirdikten sonra. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), birden fazla grubun bu kusura saldırdığına ilişkin raporların ardından CVE-2024-3400’ü bilinen istismar edilen güvenlik açıkları kataloğuna ekledi.
Palo Alto Networks’ün kendisi de öyle olduğunu söyledi artan sayıda saldırının farkında CVE-2024-3400’den yararlanıyor ve kusura ilişkin kavram kanıt kodunun kamuya açık olması konusunda uyarıda bulunuyor.
Siemens’e göre, endüstriyel kontrol ortamlarında genellikle uç cihazlar olarak kullanılan Ruggedcom APE1808 ürünü, konuya karşı savunmasız. Siemens, GlobalProtect ağ geçidi veya GlobalProtect portalı (ya da her ikisi) ile yapılandırılmış PAN Virtual NGFW’li ürünün tüm sürümlerinin bu güvenlik açığından etkilendiğini açıkladı.
Siemens, bir danışma belgesinde hataya yönelik güncellemeler üzerinde çalıştığını söyledi ve müşterilerin bu arada riski azaltmak için almaları gereken belirli karşı önlemler önerdi. Önlemler arasında, güvenlik açığını hedef alan saldırıları engellemek için PAN’ın yayınladığı belirli tehdit kimliklerinin kullanılması yer alıyor. Siemens’in tavsiyesi, PAN’ın GlobalProtect ağ geçidini ve GlobalProtect portalını devre dışı bırakma önerisine işaret etti ve müşterilere bu özelliklerin Ruggedcom APE1808 dağıtım ortamlarında varsayılan olarak zaten devre dışı bırakıldığını hatırlattı.
PAN başlangıçta kuruluşlara, kusuru hedef alan saldırılara karşı koruma sağlamak için cihaz telemetrisini devre dışı bırakmalarını önerdi. Güvenlik satıcısı daha sonra etkisizliği gerekçe göstererek bu tavsiyeyi geri çekti. Şirket, “PAN-OS güvenlik duvarlarının bu güvenlik açığıyla ilgili saldırılara maruz kalması için cihaz telemetrisinin etkinleştirilmesine gerek yok” dedi.
Siemens, genel bir kural olarak müşterilerini, endüstriyel kontrol ortamlarındaki cihazlara ağ erişimini uygun mekanizmalarla korumaya teşvik ederek şunları söyledi: “Cihazları korumalı bir BT ortamında çalıştırmak için Siemens, ortamın Siemens’in operasyonel yönergelerine göre yapılandırılmasını tavsiye ediyor Endüstriyel Güvenlik için.”
İnterneti tehditle ilgili trafik açısından izleyen Shadowserver Vakfı, yaklaşık 5.850 savunmasız örnek tespit edildi PAN’ın NGFW’si açığa çıktı ve 22 Nisan itibarıyla İnternet üzerinden erişilebiliyor. Savunmasız örneklerin yaklaşık 2.360’ının Kuzey Amerika’da olduğu görülüyor; Asya, yaklaşık 1.800 maruz kalan örnekle bir sonraki en yüksek sayıyı oluşturdu.
İnternete Açık Cihazlar ICS/OT için Kritik Bir Risk Olmaya Devam Ediyor
Açığa çıkan bu bulut sunucularından kaçının endüstriyel kontrol sistemi (ICS) ve operasyonel teknoloji (OT) ayarlarında olduğu belli değil. Ancak genel olarak İnternet’e maruz kalma, ICS ve OT ortamlarında önemli bir sorun olmaya devam ediyor. A Forescout’tan yeni soruşturma dünya çapında yaklaşık 110.000 İnternet bağlantılı ICS ve OT sistemini ortaya çıkardı. ABD, maruz kalan vakaların %27’sini oluşturarak başı çekti. Ancak bu sayı birkaç yıl öncesine göre oldukça düşüktü. Buna karşılık Forescout, İspanya, İtalya, Fransa, Almanya ve Rusya dahil olmak üzere diğer ülkelerde internete açık ICS/OT ekipmanlarının sayısında keskin bir artış olduğunu tespit etti.
Forescout, “Fırsatçı saldırganlar, bazen güncel olaylar, taklit davranışlar veya yeni, kullanıma hazır yetenekler veya bilgisayar korsanlığı kılavuzlarında bulunan acil durumlar gibi trendlerin yönlendirdiği çok gevşek bir hedefleme mantığıyla, bu açığa çıkmayı giderek daha geniş ölçekte kötüye kullanıyor.” dedi. . Güvenlik sağlayıcısı, bu açığa çıkmanın en azından kısmen sistem entegratörlerinin, ICS ve OT sistemlerini yanlışlıkla İnternet’e maruz bırakan bileşenler içeren paketlenmiş paketler sunmasıyla ilgili olduğunu değerlendirdi. Forescout, “Büyük ihtimalle” dedi, “çoğu varlık sahibi bu paketlenmiş birimlerin açıkta kalan OT cihazları içerdiğinden habersiz.”