Palo Alto Networks, bu sorunu çözmek için güvenlik güncellemeleri yayınladı beş güvenlik açığı ürünlerini etkileyen, kimlik doğrulama atlamasına yol açabilecek kritik bir hata da dahil.
CVE-2024-5910 (CVSS puanı: 9,3) olarak kataloglanan güvenlik açığı, Expedition geçiş aracında eksik kimlik doğrulaması durumu olarak tanımlanıyor ve bu durum bir yönetici hesabının ele geçirilmesine yol açabiliyor.
Şirket, “Palo Alto Networks Expedition’da kritik bir işlev için kimlik doğrulamasının eksik olması, Expedition’a ağ erişimi olan saldırganların Expedition yönetici hesabını ele geçirmesine yol açabilir” dedi. söz konusu bir danışmada. “Bu sorun nedeniyle Expedition’a aktarılan yapılandırma sırları, kimlik bilgileri ve diğer veriler risk altında.”
Bu kusur, sorunu çözen 1.2.92 sürümünden önceki tüm Expedition sürümlerini etkiliyor. Synopsys Siber Güvenlik Araştırma Merkezi’nden (CyRC) Brian Hysell, sorunu keşfeden ve bildiren kişi olarak kabul ediliyor.
Bu açığın gerçek hayatta kullanıldığına dair bir kanıt bulunmamakla birlikte, kullanıcıların olası tehditlere karşı korunmak için en son sürüme güncellemeleri önerilir.
Geçici çözüm olarak Palo Alto Networks, Expedition’a ağ erişiminin yetkili kullanıcılar, ana bilgisayarlar veya ağlarla sınırlandırılmasını öneriyor.
Ayrıca Amerikalı siber güvenlik firması, Palo Alto Networks PAN-OS güvenlik duvarı ile bir RADIUS sunucusu arasında kimlik doğrulamayı atlatmak için aracı saldırı (AitM) gerçekleştirme yeteneğine sahip kötü niyetli bir aktörün BlastRADIUS (CVE-2024-3596) adı verilen RADIUS protokolündeki yeni açıklanan bir açığı da düzeltti.
Bu güvenlik açığı, saldırganın RADIUS kimlik doğrulaması kullanıldığında ayrıcalıkları “süper kullanıcıya” yükseltmesine ve CHAP veya PAP RADIUS sunucu profilinde seçilidir” söz konusu.
Aşağıdaki ürünler eksikliklerden etkileniyor:
- PAN-OS 11.1 (sürümler = 11.1.3)
- PAN-OS 11.0 (sürümler = 11.0.4-h4)
- PAN-OS 10.2 (sürümler = 10.2.10)
- PAN-OS 10.1 (sürümler = 10.1.14)
- PAN-OS 9.1 (sürümler = 9.1.19)
- Prisma Access (tüm sürümler, düzeltmenin 30 Temmuz’da yayınlanması bekleniyor)
Ayrıca, kimlik doğrulama protokolleri Taşıma Katmanı Güvenliği (TLS) sunmadığından, şifrelenmiş bir tünel tarafından kapsüllenmedikçe ne CHAP ne de PAP’ın kullanılmaması gerektiği belirtildi. TLS tüneliyle birlikte kullanıldıkları durumlarda savunmasız değillerdir.
Ancak, bir RADIUS sunucusu için kimlik doğrulama protokolü olarak PAP ile EAP-TTLS kullanacak şekilde yapılandırılmış PAN-OS güvenlik duvarlarının da saldırıya maruz kalmadığını belirtmekte fayda var.