Palo Alto Networks, dünya çapında birçok şirket için yeni nesil güvenlik duvarı olan Next-Generation Firewall (NGFW) sağlayıcılarından bir tanesidir ve ülkemizde 800’den fazla kullanıcısı bulunmaktadır. NGFW, Palo Alto Networks’un kendi işletim sistemi olan PAN-OS’da çalışmaktadır.

PAN-OS’da Görülen Güvenlik Açıkları

panos güvenlik açıkları

PAN-OS, son derece güçlü bir işletim sistemidir. Ancak güvenlik sağlıyor olmasına rağmen 2020 yılında çeşitli zafiyetlerle birlikte anılmıştır. Bu yazıda ise bu zafiyetlerden 3 tanesine değinilmektedir:

Yetkili Kullanıcı Hesabı ile Uzaktan Komut Çalıştırma (RCE)

Bilinen zafiyetler veritabanına 2 farklı CVE kodu ile eklenen PAN-OS’daki uzaktan  komut çalıştırma zafiyeti, saldırganların ve  sızma testlerinde görev alan profesyonellerin test ettiği bir güvenlik açıklığıdır. Bu zafiyet ;

  • PAN-OS 9.1 < 9.3
  • PAN-OS 9.0 < 9.0.10
  • PAN-OS 8.1 < 8.1.16

sürümlerinde görülmektedir.

 

Yetkisiz Kullanıcı Hesabı ile DoS

DoS güvenlik açığının sömürülmesi yeni nesil güvenlik duvarının web uygulamasının tamamen erişilemez olmasına sebep olmaktadır.  CVE-2020-2039 kodlu güvenlik zafiyeti;

  • PAN-OS 10 < 10.0.1
  • PAN-OS 9.1 < 9.1.4
  • PAN-OS 9.0 < 9.0.10
  • PAN-OS 8.1 < 8.1.16

sürümlerinde görülmektedir.

 

Reflected XSS

Türkçesiyle yansıyan şekilde siteler arası betik çalıştırma zafiyeti “/unauth/php/change_password.php” scriptinde keşfedilmiştir. Belirtilen script, “$_SERVER[‘PHP_SELF’]” değişkenini kullanmaktadır. Bu değişken herhangi bir filtreleme olmadan form etiketindeki öznitelik değerine eklendiği için XSS zafiyeti açığa çıkmaktadır. İlgili zafiyet;

  • PAN-OS 9.0 < 9.0.9
  • PAN-OS 8.1 < 8.1.16

Versiyonlarında bulunmaktadır.

Sonuç olarak, PAN-OS hem dünya genelinde hem de ülkemizde kullanılan bir işletim sistemi olduğu için keşfedilen zafiyetler kritik öneme sahiptir. Bu yüzden kurumların düzenli olarak sızma testi hizmeti alması ve PAN-OS’da yer alan güvenlik açıkları gibi diğer işletim sistemlerinde de yer alan güvenlik açıklarının önceden tespit edilerek kapatılması gerekmektedir.