Palo Alto PAN-OS Sıfır Gün Açığı Aktif Olarak Kullanılıyor: Kritik Uyarı

Palo Alto Networks, Kritik Sıfır Gün Açığının Aktif Olarak İstismar Edildiğini Doğruladı

Palo Alto Networks, CVE-2026-0300 olarak tanımlanan ve kritik bir sıfır gün açığının saldırganlar tarafından aktif olarak istismar edildiğini açıkladı. Şirketin yaptığı açıklamaya göre, bu açık, PAN-OS yazılımındaki kimlik doğrulama portalını hedef alıyor ve kimlik doğrulama gerektirmeden root yetkileriyle kod çalıştırılmasına olanak tanıyor.

Saldırılar, PA-Series ve VM-Series güvenlik duvarlarını etkiliyor. Palo Alto Networks, ilk düzeltmeyi 13 Mayıs'ta yayınlamayı planladığını belirtti. Şirket, saldırıların sınırlı sayıda müşteriyi etkilediğini ve sadece kullanıcı kimlik doğrulama portalının (Captive Portal) genel ağa veya güvensiz IP adreslerine açık olduğu sistemlerde görüldüğünü vurguladı.

CISA, Açığı Bilinen İstismar Edilen Açıklar Kataloğuna Ekledi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0300'u bilinen istismar edilen açıklar kataloğuna ekledi. Bu adım, kurumların acil önlem almasını gerektiriyor. Açığın CVSS puanı 9.3 olarak belirlendi ve saldırı karmaşıklığı düşük olarak sınıflandırıldı.

5.800'den Fazla Güvenlik Duvarı Risk Altında

Shadowserver tarafından yapılan taramalarda, 5.800'den fazla VM-Series güvenlik duvarının PAN-OS çalıştırdığı ve genel ağa açık olduğu tespit edildi. Ancak, bu sistemlerin kaçında kimlik doğrulama erişiminin sadece güvenilir iç IP adreslerine sınırlandırıldığı veya devre dışı bırakıldığı henüz bilinmiyor.

Palo Alto Networks, Acil Önlemler İçin Yönergeler Sundu

Şirket, müşterilerine acil güvenlik önlemleri almaları için net yönergeler sağladı. Açığın Cloud NGFW veya Panorama cihazlarını etkilemediği belirtildi. Palo Alto Networks sözcüsü, "Müşterilerimizin güvenliğini birinci önceliğimiz olarak görüyoruz ve şeffaf bir yaklaşımla hareket ediyoruz" dedi.

Uzmanlardan Kritik Değerlendirmeler

watchTowr CEO'su Benjamin Harris: "Palo Alto Networks, müşterilerini proaktif olarak uyardı. Bu, kötü bir durumda yapılabilecek en iyi harekettir. Ancak, bu aynı zamanda saldırganlara da açığın varlığını bildirmiş oluyor."

Harris, saldırıların sınırlı kalmasını beklediklerini, ancak üçüncü taraf organizasyonların ve honeypot'ların kısa sürede kurallar oluşturmasının muhtemel olduğunu söyledi.

VulnCheck Güvenlik Araştırması Başkan Yardımcısı Caitlin Condon: "Yönetim arayüzleri, giriş sayfaları ve kimlik doğrulama portalları, hem fırsatçı hem de hedefli saldırıların sık hedefi olmuştur. Bu açıkla ilgili araştırmacı ve topluluk dikkati arttıkça, kamu exploit'lerinin ve daha geniş çaplı saldırıların hızla yaygınlaşması muhtemel."

Palo Alto Networks, Saldırıları Henüz Bir Gruba Atfetmedi

Palo Alto Networks, saldırıları henüz bilinen bir tehdit grubuna atfetmedi ve etkilenen kuruluşların türü hakkında bilgi vermedi. Şirket, araştırmacıların zararlı faaliyetleri izlediğini ve yama yayınlandığında uygulanmasını tavsiye ettiğini belirtti.

Müşterilere Öneriler

• Kimlik doğrulama portalını genel ağa veya güvensiz IP adreslerine açmayın.
• Eğer portalı kullanmanız gerekiyorsa, erişimi sadece güvenilir iç IP adreslerine sınırlandırın.
• Palo Alto Networks'in 13 Mayıs'ta yayınlayacağı yamayı bekleyin ve uygulayın.
• Sistemlerinizi CISA'nın önerileri doğrultusunda güncel tutun.
• Herhangi bir şüpheli aktivite durumunda, log'ları inceleyin ve gerekirse Palo Alto Networks destek ekibiyle iletişime geçin.