Önemli Not: Buradaki araştırma ve inceleme yazısı PAN-OS güvenlik sistemini kötülemek için değil, bazen en iyi sistemlerin bile çok kritik güvenlik açıklıklarına maruz kalabileceği konusunda yazılmış ve sunulmuş olan bir inceleme yazısıdır. Saygılarımızla.

2024 yılının Nisan ayının ilk haftalarına girdiğimizde PAN-OS güvenlik sistemleri için, Volaxity Siber Güvenlik şirketi aracılığıyla CVE tarafından bir danışma raporu yayımlandı. Bu danışma raporu aslında sistemin içerisinde varolabilecek Sıfırıncı Gün zaafiyeti hakkında bilgilendirici içerikler hakkında idi. Fakat raporda, 10.2, 11.0 ve 11.1 versiyonları için çok kritik sayılabilecek bir Komut Enjeksiyonu güvenlik açığı söz konusuydu. [1][2][3][4]

Isterseniz önce PAN-OS’u, PAN-OS güvenlik sistemini tedarik eden şirketi ve Komut Enjeksiyon güvenlik zaafiyetini yakından inceleyelim. Daha sonrasında ana konumuza kaldığımız yerden devam ederiz.

Komut Enjeksiyonu (Orjinal adıyla Command Injection); Bir bilgisayar korsanının işletim sistemine veya sisteme bağlı kabuk ile etkileşimde bulunan terminal aracılığıyla sistemi keyfi bir şekilde yönetmesine, sistem içerisinden veri kaçırmasına veya sistemin kolay bir şekilde ele geçirilmesine olanak sağlayan bir zaafiyettir. Esasında her zaafiyet, sistemi ele geçirmek isteyen veya sistem ile ilgili farklı düşüncelere sahip her bilgisayar korsanının profiline ve içindeki niyete göre şekillenir. [5]

PAN-OS; Palo Alto Networks firmasının üretimini yaptığı ve tedarikini sağladığı güvenlik duvarı sistemidir. Sistem, yeni nesil bir güvenlik duvarı ve kullanıcı dostudur. Sistemin girişinde varolan Tanılama güvenliği sayesinde sisteme dışarıdan zorla erişimi sağlatacak hareketler veya Kaba-Kuvvet, Sözlük benzeri parola saldırılarına karşı sağlamış olduğu saldırılara karşı muhafaza eder bir manteliteye sahiptir. Palo Alto Networks ise çoğunlukla Siber Güvenlik mesleğinin içerisinde Ağ Güvenliği ve Tehdit Avcılığı gibi dallarla uğraşan bir güvenlik şirketinin adıdır. [6][7]

Ana konuya dönecek olursak, Palo Alto Networks firmasına bağlı olarak çalışan Operasyon Müdahale Ekibi Unit 42, kendi blog sayfasında bu güvenlik açığı ile ilgili detaylı ve teknik bir blog yazısı paylaştı. Söz konusu olan versiyonların içerisinde varolan güvenlik zaafiyeti incelendi, seviyelendirmesi yapıldı ve Volaxity Siber Güvenlik şirketinde çalışan bazı uzmanlarla birlikte versiyonlar not alındı. Güvenlik duvarı çalıştırıldıktan sonra farklı bir makine üzerinden özellikle wget ve wget aracına benzer araçlarla sistemin yönlendirildiği anlaşıldı. Palo Alto Networks firması, özellikle 10.2, 11.0 ve 11.1 versiyonları için 14 Nisan 2024 tarihine kadar bir güvenlik yaması yayınlayacaklarını söylediler. Bu tarihe kadar bu versiyonları kullanan kullanıcılarına karşı; eski versiyonları kullanması gerektiğini, ağ trafiklerini izlemeleri gerektiğini, ağır bir durum yaşanırsa kendileri ile iletişime geçilmesi gerektiği gibi bazı tavsiye ve önerilerde bulundu. [8]

Sonuç: Palo Alto Networks firması ve bu firmaya bağlı olan PAN-OS güvenlik sistemi, parmakla gösterilen sistemlerden biridir. Buradaki araştırma, firmaya ait olan bir WAF’ın kötücül komut dosyası aracılığıyla standart olarak kullanılan wget ve wget benzeri araçlar ile reposunun kolay bir şekilde çekildiğini göstermiş oldu. Esasında burada şunu bir kez daha anlamış olduk. Güvenilir bir firmaya ait olan bir sisteme bile güvenmek zordur. Çünkü bilgisayar haberleşmesine açık olan her sistem, hacklenmeye mahkumdur.

Önemli Not 2: Siz bu satırları okumaya başladığınızda Palo Alto Networks firması, PAN-OS Güvenlik Sistemlerinde var olan Komut Enjeksiyonu Güvenlik Zaafiyeti için bir fix yani güvenlik yaması yayımladı. Ona da [9] numaralı kaynaktan ulaşabilirsiniz. Kaynaklar kısmına bırakacağım. Sevgiler ve saygılarımızla.

Kaynaklar
[1] https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/
[2] https://security.paloaltonetworks.com/CVE-2024-3400
[3] https://www.rapid7.com/blog/post/2024/04/12/etr-cve-2024-3400-critical-command-injection-vulnerability-in-palo-alto-networks-firewalls-2/
[4] https://www.cve.org/CVERecord?id=CVE-2024-3400
[5] https://medium.com/bili%C5%9Fim-hareketi/tr-os-command-injection-nedir-584bff7f6377
[6] https://www.paloaltonetworks.com/
[7] https://docs.paloaltonetworks.com/pan-os
[8] https://unit42.paloaltonetworks.com/cve-2024-3400/
[9] https://security.paloaltonetworks.com/CVE-2024-3400