Palo Alto Networks Globalprotect uygulaması VPN bağlantıları kurmak için kullanılır. Bir güvenlik açığı, saldırganların kötü amaçlı kod yerleştirmesine ve bu kodu yükseltilmiş ayrıcalıklara sahip savunmasız bilgisayarlara yüklemesine olanak tanır.
Duyuru
Amberwolf güvenlik açığını keşfedenler, ayrıntılı analizlerinde hem macOS hem de Windows'taki Globalprotect VPN istemcilerinin ağdan kötü amaçlı kod yürütülmesine ve otomatik güncelleme mekanizması yoluyla ayrıcalık yükseltmeye karşı savunmasız olduğunu yazıyor (CVE-2024-5921, CVSS-B) 7.2“Risk”yüksek“). Güncelleme işlemi MSI dosyalarının imzalanmasını gerektirse de, saldırganlar PanGPS hizmetini kötü amaçlı ve dolayısıyla güvenilir bir kök sertifika yüklemek için kötüye kullanabilir. Güncellemeler daha sonra hizmet bileşeninin haklarıyla (Windows altında macOS kökü ve SYSTEM) gerçekleştirilir.
Kod kaçırmak için kötü amaçlı sunucularla iletişime geçin
Varsayılan olarak kullanıcılar, VPN istemcilerinin kullanıcı arayüzüne herhangi bir uç noktayı girebilirler. Saldırganlar, kurbanları kötü amaçlı VPN sunucularına bağlanmaları için kandırmak amacıyla bu durumdan sosyal mühendislik yoluyla yararlanabilirler. Bunlar oturum açma verilerine müdahale edebilir ve kötü amaçlı istemci güncellemeleriyle sistemleri tehlikeye atabilir.
Güvenlik danışma belgesinde Palo Alto, güvenlik açığının tüm işletim sistemleri için Globalprotect Apps 6.3'ü, Linux, macOS ve Windows için 6.2'yi, tüm işletim sistemleri için 6.1'i, Globalprotect iOS uygulamasını ve UWP uygulamasını etkilediğini açıklıyor. Android sürümü için ise Palo Alto analizleri halen devam ediyor. Geliştiricilerin etkinleştirilmesinin olası bir geçici çözüm olarak da bahsettiği FIPS CC modundaki Globalprotect 5.1 ve 6.0 etkilenmez. Ayrıca, Windows için Globalprotect 6.2.6'dan itibaren bu güvenlik açığı artık dahil edilmemektedir.
Palo Alto'nun zaman çizelgesi, güvenlik tavsiyesi Salı günü yayınlanana kadar başlamayacaktır. Ancak Amberwolf, Palo Alto'nun güvenlik açığından Nisan ayında haberdar edildiğini yazıyor. Ayrıca Palo Alto, güvenlik açığı tehlikesini küçümser ve iletişiminde CVSS'ye göre Geçici Temel Puana atıfta bulunur: zaman içinde boşluklar aslında her zaman daha düşük bir tehdit olarak sınıflandırılır. Bununla birlikte, CVSS-BT'nin 5,1 değeri yalnızca orta düzeyde bir ciddiyet düzeyine işaret etmektedir ve bu durum, BT yöneticilerinin derhal eyleme geçmesini gerektirmemektedir.
Pek çok Palo Alto Networks ürünü şu anda saldırganların hedefi oluyor. Ancak tanınmış şirket, şeffaf güvenlik açığı yönetimi nedeniyle pek fazla ilgi görmüyor. Daha önce kötüye kullanılan PAN-OS güvenlik açıklarına ilişkin uyarılardaki tarihler, güvenlik açıklarını veya saldırıları bildiren grupların tarihleriyle eşleşmiyor. Diğer durumlarda, saldırıların ABD siber güvenlik otoritesi CISA tarafından onaylanması, Palo Alto'nun bir güvenlik açığından zaten yararlanıldığından emin olduğunu garanti etmez. Cuma günü itibarıyla siber güvenlik araştırmacıları 2.000'den fazla Palo Alto cihazının saldırıya uğradığını saymıştı. Palo Alto siber güvenlik departmanının 42. Birimi, çalışan bir istismarın varlığını doğrulayabilecek orta-yüksek hassasiyetten bahsetti.
(Bilmiyorum)
Duyuru
Amberwolf güvenlik açığını keşfedenler, ayrıntılı analizlerinde hem macOS hem de Windows'taki Globalprotect VPN istemcilerinin ağdan kötü amaçlı kod yürütülmesine ve otomatik güncelleme mekanizması yoluyla ayrıcalık yükseltmeye karşı savunmasız olduğunu yazıyor (CVE-2024-5921, CVSS-B) 7.2“Risk”yüksek“). Güncelleme işlemi MSI dosyalarının imzalanmasını gerektirse de, saldırganlar PanGPS hizmetini kötü amaçlı ve dolayısıyla güvenilir bir kök sertifika yüklemek için kötüye kullanabilir. Güncellemeler daha sonra hizmet bileşeninin haklarıyla (Windows altında macOS kökü ve SYSTEM) gerçekleştirilir.
Kod kaçırmak için kötü amaçlı sunucularla iletişime geçin
Varsayılan olarak kullanıcılar, VPN istemcilerinin kullanıcı arayüzüne herhangi bir uç noktayı girebilirler. Saldırganlar, kurbanları kötü amaçlı VPN sunucularına bağlanmaları için kandırmak amacıyla bu durumdan sosyal mühendislik yoluyla yararlanabilirler. Bunlar oturum açma verilerine müdahale edebilir ve kötü amaçlı istemci güncellemeleriyle sistemleri tehlikeye atabilir.
Güvenlik danışma belgesinde Palo Alto, güvenlik açığının tüm işletim sistemleri için Globalprotect Apps 6.3'ü, Linux, macOS ve Windows için 6.2'yi, tüm işletim sistemleri için 6.1'i, Globalprotect iOS uygulamasını ve UWP uygulamasını etkilediğini açıklıyor. Android sürümü için ise Palo Alto analizleri halen devam ediyor. Geliştiricilerin etkinleştirilmesinin olası bir geçici çözüm olarak da bahsettiği FIPS CC modundaki Globalprotect 5.1 ve 6.0 etkilenmez. Ayrıca, Windows için Globalprotect 6.2.6'dan itibaren bu güvenlik açığı artık dahil edilmemektedir.
Palo Alto'nun zaman çizelgesi, güvenlik tavsiyesi Salı günü yayınlanana kadar başlamayacaktır. Ancak Amberwolf, Palo Alto'nun güvenlik açığından Nisan ayında haberdar edildiğini yazıyor. Ayrıca Palo Alto, güvenlik açığı tehlikesini küçümser ve iletişiminde CVSS'ye göre Geçici Temel Puana atıfta bulunur: zaman içinde boşluklar aslında her zaman daha düşük bir tehdit olarak sınıflandırılır. Bununla birlikte, CVSS-BT'nin 5,1 değeri yalnızca orta düzeyde bir ciddiyet düzeyine işaret etmektedir ve bu durum, BT yöneticilerinin derhal eyleme geçmesini gerektirmemektedir.
Pek çok Palo Alto Networks ürünü şu anda saldırganların hedefi oluyor. Ancak tanınmış şirket, şeffaf güvenlik açığı yönetimi nedeniyle pek fazla ilgi görmüyor. Daha önce kötüye kullanılan PAN-OS güvenlik açıklarına ilişkin uyarılardaki tarihler, güvenlik açıklarını veya saldırıları bildiren grupların tarihleriyle eşleşmiyor. Diğer durumlarda, saldırıların ABD siber güvenlik otoritesi CISA tarafından onaylanması, Palo Alto'nun bir güvenlik açığından zaten yararlanıldığından emin olduğunu garanti etmez. Cuma günü itibarıyla siber güvenlik araştırmacıları 2.000'den fazla Palo Alto cihazının saldırıya uğradığını saymıştı. Palo Alto siber güvenlik departmanının 42. Birimi, çalışan bir istismarın varlığını doğrulayabilecek orta-yüksek hassasiyetten bahsetti.
(Bilmiyorum)