PAN-OS: Yönetim Web Arayüzünde Kimlik Doğrulama Bypass'ı

PAN-OS: Yönetim Web Arayüzünde Kimlik Doğrulama Bypass'ı

Palo Alto Networks PAN-OS yazılımındaki bir kimlik doğrulama atlaması, yönetim web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir saldırganın PAN-OS yönetici ayrıcalıkları kazanarak yönetim eylemleri gerçekleştirmesine, yapılandırmayı kurcalamasına veya CVE-2024-9474 gibi diğer kimliği doğrulanmış ayrıcalık yükseltme güvenlik açıklarından yararlanmasına olanak tanır.

Önerilen en iyi uygulama dağıtım yönergelerimize göre erişimi yalnızca güvenilir dahili IP adresleriyle kısıtlayarak yönetim web arayüzüne erişimi güvence altına alırsanız, bu sorunun riski büyük ölçüde azalır.

Bu sorun yalnızca PA-Serisi, VM-Serisi ve CN-Serisi güvenlik duvarları ve Panorama (sanal ve M-Serisi) üzerindeki PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 ve PAN-OS 11.2 yazılımları için geçerlidir.

Cloud NGFW ve Prisma Access bu güvenlik açığından etkilenmez.

Etkilenen Sistemler

IoC’ler

-

Çözüm Önerileri

Aşağıdaki geçici çözümler bölümündeki talimatları izleyerek yönetim arayüzünüze erişimi güvenli hale getirmenizi şiddetle tavsiye ederiz.

Bu sorun PAN-OS 10.2.12-h2, PAN-OS 11.0.6-h1, PAN-OS 11.1.5-h1, PAN-OS 11.2.4-h1 ve sonraki tüm PAN-OS sürümlerinde düzeltilmiştir.

Geçici Çözümler ve Hafifletmeler
Önerilen hafifletme - Güvenlik duvarlarının büyük çoğunluğu zaten Palo Alto Networks ve sektördeki en iyi uygulamaları takip etmektedir. Ancak, henüz yapmadıysanız, yönetim arayüzünüze erişimi en iyi uygulama dağıtım yönergelerimize göre güvence altına almanızı şiddetle tavsiye ederiz. Özellikle, internetten harici erişimi önlemek için yönetim arayüzüne erişimi yalnızca güvenilir dahili IP adresleriyle kısıtlamalısınız.

Tedbirler

-

CVE / CWE

• https://nvd.nist.gov/vuln/detail/CVE-2024-0012

Ek Bilgiler

• https://security.paloaltonetworks.com/CVE-2024-0012

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.