Palo Alto Networks, dünya çapında birçok şirket için yeni nesil güvenlik duvarı olan Next-Generation Firewall (NGFW) sağlayıcılarından bir tanesidir ve ülkemizde 800’den fazla kullanıcısı bulunmaktadır. NGFW, Palo Alto Networks’un kendi işletim sistemi olan PAN-OS’da çalışmaktadır.
PAN-OS’da Görülen Güvenlik Açıkları
PAN-OS, son derece güçlü bir işletim sistemidir. Ancak güvenlik sağlıyor olmasına rağmen 2020 yılında çeşitli zafiyetlerle birlikte anılmıştır. Bu yazıda ise bu zafiyetlerden 3 tanesine değinilmektedir:
- Yetkili kullanıcı ile işletim sistemi komutu yürütme (CVE-2020-2037 ve CVE-2020-2038)
- Yetkisiz kullanıcı hesabı ile DoS (CVE-2020-2039)
- Yansıyan şekilde siteler arası betik çalıştırma (Reflected XSS – CVE-2020-2036)
Yetkili Kullanıcı Hesabı ile Uzaktan Komut Çalıştırma (RCE)
Bilinen zafiyetler veritabanına 2 farklı CVE kodu ile eklenen PAN-OS’daki uzaktan komut çalıştırma zafiyeti, saldırganların ve sızma testlerinde görev alan profesyonellerin test ettiği bir güvenlik açıklığıdır. Bu zafiyet ;
- PAN-OS 9.1 < 9.3
- PAN-OS 9.0 < 9.0.10
- PAN-OS 8.1 < 8.1.16
sürümlerinde görülmektedir.
Yetkisiz Kullanıcı Hesabı ile DoS
DoS güvenlik açığının sömürülmesi yeni nesil güvenlik duvarının web uygulamasının tamamen erişilemez olmasına sebep olmaktadır. CVE-2020-2039 kodlu güvenlik zafiyeti;
- PAN-OS 10 < 10.0.1
- PAN-OS 9.1 < 9.1.4
- PAN-OS 9.0 < 9.0.10
- PAN-OS 8.1 < 8.1.16
sürümlerinde görülmektedir.
Reflected XSS
Türkçesiyle yansıyan şekilde siteler arası betik çalıştırma zafiyeti “/unauth/php/change_password.php” scriptinde keşfedilmiştir. Belirtilen script, “$_SERVER[‘PHP_SELF’]” değişkenini kullanmaktadır. Bu değişken herhangi bir filtreleme olmadan form etiketindeki öznitelik değerine eklendiği için XSS zafiyeti açığa çıkmaktadır. İlgili zafiyet;
- PAN-OS 9.0 < 9.0.9
- PAN-OS 8.1 < 8.1.16
Versiyonlarında bulunmaktadır.
Sonuç olarak, PAN-OS hem dünya genelinde hem de ülkemizde kullanılan bir işletim sistemi olduğu için keşfedilen zafiyetler kritik öneme sahiptir. Bu yüzden kurumların düzenli olarak sızma testi hizmeti alması ve PAN-OS’da yer alan güvenlik açıkları gibi diğer işletim sistemlerinde de yer alan güvenlik açıklarının önceden tespit edilerek kapatılması gerekmektedir.