Giriş
Palo Alto Networks, yakın zamanda keşfedilen bir PAN-OS zafiyetinin aktif olarak kullanılmakta olduğunu ve kötü niyetli bir aktör tarafından GlobalProtect portallarına yetkisiz erişim sağlandığını bildirdi. Bu durum, siber güvenlik alanında ciddi bir tehdit oluşturmakta ve kullanıcıların acil önlem almasını gerektirmektedir.
Saldırı Nasıl Çalışıyor?
Söz konusu zafiyet, CVE-2026-0257 (CVSS puanı: 7.8) olarak tanımlanan bir kimlik doğrulama atlama hatasıdır. Bu zafiyet, PAN-OS yazılımının portal ve gateway bileşenlerini etkilemekte ve kötü niyetli aktörlerin VPN bağlantıları kurmasına olanak tanımaktadır. Palo Alto Networks, bu zafiyetin Mayıs 2026’da sınırlı saldırılarda istismar edildiğini ve kimlerin bunu yaptığına dair bir bilgi bulunmadığını belirtmiştir.
Etkilenen Sistemler
Bu güvenlik açığı özellikle aşağıdaki sistemlerde bulunmaktadır:
- PAN-OS portal ve gateway bileşenleri
Palo Alto Networks, kullanıcıların GlobalProtect loglarını kontrol etmelerini ve aşağıdaki yapılandırma bilgilerine sahip olan başarılı gateway bağlantı olaylarını araştırmalarını önermektedir:
- endpoint_os_version : Microsoft Windows 10 Pro 64-bit
- source_user_info.domain : boş
Belirtiler ve Tehdit İndikatörleri
Palo Alto Networks, aktif saldırıyla ilişkili bazı göstergeler (IoC) yayımlamıştır. Kullanıcıların dikkate alması gereken IP adresleri ve diğer yan ürün bilgileri şunlardır:
- IP adresleri:
- 23.128.228[.]6
- 104.207.144[.]154
- 146.19.216[.]119
- 146.19.216[.]120
- 146.19.216[.]125
- 179.43.172[.]213
- 185.195.232[.]139
- 198.12.106[.]60
- 202.144.192[.]47
- Host Adları ve MAC Adresleri:
- aa:bb:cc:dd:ee:ff
- 00:11:22:33:44:55
- WINDOWS-LAPTOP-001
- DESKTOP-GP01
- GP-CLIENT
Çözüm ve Korunma
Son olarak, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0257‘yi Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna eklemiştir. Federal Sivil İcra Dairesi (FCEB) kuruluşlarının bu zafiyeti 1 Haziran 2026 tarihine kadar gidermeleri talep edilmiştir.
Aksiyon
Tüm kullanıcıların, PAN-OS yazılımlarını derhal güncellemeleri ve etkilenen sistemlerdeki VPN bağlantılarını gözden geçirmeleri gerekmektedir. Ayrıca, yukarıda belirtilen IP adreslerini ve diğer belirtileri içeren logları tarayarak herhangi bir şüpheli etkinlik tespit etmeleri önemlidir. Gerekirse, tehditlerden korunmak için kullanılan portların kapatılması önerilmektedir.
