Palo Alto Güvenlik Açığı 9 Nisan'dan Beri İstismar Ediliyor

Palo Alto Güvenlik Duvarlarında Kritik Açık

Palo Alto Networks tarafından üretilen güvenlik duvarlarında tespit edilen kritik bir sıfır gün güvenlik açığının, 9 Nisan'dan itibaren devlet destekli olduğu düşünülen siber saldırganlarca aktif olarak kullanıldığı bildirildi. Bu durum, BleepingComputer'ın aktardığı bilgilere göre ortaya çıktı.

CVE-2026-0300 koduyla izlenen bu zafiyet, PAN-OS User-ID Kimlik Doğrulama Portalı'ndaki (Captive Portal olarak da bilinir) bir arabellek taşması hatasından kaynaklanıyor. İnternete açık PA-Serisi ve VM-Serisi güvenlik duvarlarında kimlik doğrulaması yapılmadan uzaktan kök ayrıcalıklarıyla kod çalıştırılmasına olanak tanıyor.

Saldırıların Detayları ve Tespitler

Palo Alto Networks'ün açıklamasına göre, güvenlik açığının istismar edilme girişimleri 9 Nisan'da başladı. Saldırganlar, yaklaşık bir hafta sonra uzaktan kod çalıştırma yeteneğini başarıyla elde etti. Cihazlara sızdıktan sonra, tespit edilme riskini azaltmak amacıyla çekirdek çökme mesajlarını temizledikleri ve çökme çekirdek döküm dosyalarını kaldırdıkları belirtildi.

Etkilenen cihazlara erişim sağlayan saldırganlar, gizli iletişim kanalları oluşturmak ve proxy bağlantıları kurmak için açık kaynaklı tünelleme araçları olan Earthworm ve ReverseSocks5'i kullandılar. BleepingComputer, Earthworm'un daha önce Çinli tehdit gruplarıyla ilişkilendirilen saldırılarda kullanıldığına dikkat çekti.

Etkilenen Cihazlar ve Çözüm Süreci

İnternet izleme grubu Shadowserver, dünya genelinde 5.400'den fazla PAN-OS VM-serisi güvenlik duvarının bu açıktan etkilendiğini ve bunların çoğunun Asya ile Kuzey Amerika'da bulunduğunu rapor etti. Cloud NGFW ve Panorama cihazlarının bu durumdan etkilenmediği Palo Alto Networks tarafından ifade edildi.

Şirket, güvenlik açığını kapatacak yamalar üzerinde çalıştığını ve ilk güncellemelerin 13 Mayıs'tan itibaren yayınlanmaya başlanmasının beklendiğini duyurdu. Bu süreçte, müşterilere geçici önlemler almaları tavsiye edildi.

Geçici Önlemler ve Hükümet Uyarısı

Yamalar hazır olana kadar Palo Alto Networks, müşterilerine User-ID Kimlik Doğrulama Portalı'na erişimi güvenilir bölgelerle sınırlamalarını veya mümkünse bu portalı devre dışı bırakmalarını önerdi. Bu, potansiyel saldırı yüzeyini daraltmak için kritik bir adım olarak görülüyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0300'ü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Federal Sivil Yürütme Organı (FCEB) kurumlarına, etkilenen sistemlerini 9 Mayıs'a kadar güvence altına almaları talimatı verildi. Bu durum, açığın ciddiyetini ve aciliyetini vurgulamaktadır.