CISA, Palo Alto Networks ve SonicWall'dan Gelen Güvenlik Açıklarını Sömürülmüş Açıklar Listesine Dahil Etti

19.02.2025

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iki kritik güvenlik açığını Tanınan Sömürülmüş Güvenlik Açıkları (KEV) kataloguna ekledi. Bu açıklar, Palo Alto Networks'ün PAN-OS ve SonicWall'un SonicOS SSLVPN sistemlerini etkiliyor ve aktif olarak kötüye kullanılıyor. CISA'nın bu hamlesi, bu güvenlik açıklarının aktif olarak sömürüldüğüne dair kanıtların ortaya çıkmasının ardından yapıldı ve saldırganlar her iki güvenlik platformunda da belirli bileşenleri hedef alıyor.

İlk açık, CVE-2025-0108 olarak tanımlanıyor ve PAN-OS yönetim arayüzündeki kimlik doğrulama atlatılmasını içeriyor. 7.8 CVSS puanına sahip bu güvenlik açığı, ağ erişimi olan kimlik doğrulaması yapılmamış bir saldırganın kimlik doğrulamasını atlatmasına ve yönetim arayüzünde PHP betikleri çalıştırmasına olanak tanıyor. İkinci açık, CVE-2024-53704, SonicWall cihazlarındaki SSLVPN kimlik doğrulama sistemini etkiliyor. 8.2 CVSS puanına sahip bu açık, saldırganların uzaktan kimlik doğrulamasını atlatmasına olanak sağlar.

Palo Alto Networks, CVE-2025-0108 için sömürü girişimlerinin tespit edildiğini doğruladı, özellikle bu açık, diğer açıklarla (örneğin CVE-2024-9474) birleştirildiğinde. Bu kombinasyon, güvenlik yaması yapılmamış ve güvensiz güvenlik duvarlarına yetkisiz erişim sağlanmasına yol açabilir. Şirket, saldırganların bu açıkları kullanarak yamalanmamış PAN-OS web yönetim arayüzlerini hedef aldığını belirtti.

Siber güvenlik tehdit istihbarat firması GreyNoise'a göre, CVE-2025-0108’i aktif şekilde sömüren 25'e kadar kötü niyetli IP adresi gözlemlendi. Saldırı trafiği hacmi, özellikle Amerika Birleşik Devletleri, Almanya ve Hollanda'dan büyük bir artış göstermiştir. Bu arada Arctic Wolf, CVE-2024-53704’ün hızla silah haline getirildiğini ve Bishop Fox tarafından sağlanan bir kanıt konsepti (PoC) açık exploitinin hızla yayıldığını bildirdi.

Bu aktif sömürüye yanıt olarak, CISA, Federal Sivil İdari Daireler ajanslarının bu güvenlik açıklarını 11 Mart 2025'e kadar düzelterek ağlarını korumalarını zorunlu kılan bir kararname yayımladı.